Secondo i ricercatori di ESET il trojan Sathurbot utilizza siti WordPress compromessi per diffondersi. La botnet conterebbe almeno 20.000 Pc
ESET, il più grande produttore di software per la sicurezza digitale dell’Unione Europea, ha individuato nuovi attacchi associati al trojan Sathurbot che per diffondersi sfruttano un gran numero di siti compromessi – la maggior parte gestiti con WordPress – trasformandoli in veri centri di distribuzione del trojan.
Secondo ESET la backdoor è attiva dal giugno 2016 ed utilizza collegamenti a file Torrent che consentono apparentemente il download di film molto popolari. Le vittime cadono nel raggiro con estrema facilità soprattutto grazie al fatto che molti dei siti compromessi hanno un buon ranking sui motori di ricerca e appaiono quindi nei primi posti delle ricerche online.
L’utente, ignaro del pericolo, scarica il file con un’estensione video, insieme ad un eseguibile e un file di testo di accompagnamento che spiega come sia necessario installare un codec (l’eseguibile allegato) per poter guardare il film.
Naturalmente è tutto falso: chi avvia il presunto codec si trova davanti a un falso messaggio di errore, mentre il Sathurbot si installa sul sistema.
Il trojan si mette subito al lavoro e contatta il proprio server di comando e controllo da cui riceve due tipi di istruzioni: o l’utilizzo della backdoor per installare ulteriori malware sul computer infetto o l’utilizzo del Pc per eseguire ricerche su Internet e individuare altri siti WordPress, che a loro volta verranno utilizzati per infettare altri Pc.
Insomma, un sistema ben congegnato dai cybercriminali per alimentare la botnet, che secondo gli esperti di ESET conterebbe almeno 20.000 Pc.