7 февраля 2014

«Дымовая завеса»: новый спамбот прячется в собственном трафике

Бизнес

Система управления контентом WordPress снова оказывается в центре внимания: исследователи выявили «агрессивный» зловред, распространяющийся со скомпрометированных сайтов под управлением этой популярной CMS. На данный момент отмечены уже более 200 таких сайтов.

Зловред Wigon.PH_44 представляет собой спамбот. Исследователи уже установили, что он по сути является близким родственником (а точнее, новой версией) другого печально знаменитого зловреда — Pushdo/Cutwail; под тем же названием в сводках проходит крупный спамерский ботнет, появившийся где-то в 2007 году и к 2009 г. ставший самой крупной сетью, рассылавшей спам (до 51 млн. сообщений ежеминутно, что примерно равно 46,5% от всего мирового объёма спама). В августе 2010 года исследователи из нескольких крупных мировых университетов вывели из строя 20 из 30 командных серверов Cutwail, но ликвидировать его полностью не смогли, так что он продолжает функционировать и поныне.

Со скомпрометированных сайтов под управлением CMS WordPress раздаётся агрессивный спамбот, прячущийся в собственном трафике.

тели уже установили, что он по сути является близким родственником (а точнее, новой версией) другого печально знаменитого зловреда — Pushdo/Cutwail; под тем же названием в сводках проходит крупный спамерский ботнет, появившийся где-то в 2007 году и к 2009 г. ставший самой крупной сетью, рассылавшей спам (до 51 млн. сообщений ежеминутно, что примерно равно 46,5% от всего мирового объёма спама). В августе 2010 года исследователи из нескольких крупных мировых университетов вывели из строя 20 из 30 командных серверов Cutwail, но ликвидировать его полностью не смогли, так что он продолжает функционировать и поныне.

С арестом автора Blackhole и сокращением использования этого эксплойт-пака поток вредоносного спама с ботнетов, включая Cutwail, несколько снизился. Полагавшиеся на Blackhole злоумышленники теперь вынуждены искать альтернативные способы доставки программ, приносящих им доход. В первую очередь, речь идёт о банковском вредоносном ПО и блокерах-шифровальщиках. И те, и другие всё чаще используются злоумышленниками при атаках на компании, а не на конечных пользователей.

Похоже, Wigon — как раз один из таких «альтернативных способов». Самой характерной чертой этого зловреда является «дымовая завеса» из безвредных HTTP POST- и GET-запросов, в которой он прячет свой «основной» трафик, то есть собственный рассылаемый спам.

Спамом его функции, однако, не ограничиваются. В него встроены компоненты для кражи данных из почтовых программ и FTP-приложений, таких как CuteFTP, FTP Commander, FTP Navigator, FileZilla и пр. После инсталляции зловред подключается к контрольному серверу и получает команду на рассылку в спаме других вредоносных программ.

Проблема в том, что пока неизвестно, каким именно образом происходит первичная компрометация сайтов на базе WordPress. Это бесплатная и чрезвычайно популярная, в том числе в силу бесплатности, система управления контентом, которой пользуются отнюдь не только бедные организации.

Прошлой весной и летом наблюдались как минимум две крупномасштабные «кампании», когда довольно крупный ботнет пытался при помощи брутфорс-атак получить пары логинов-паролей к панелям управления WordPress. Тогда высказывались предположения, что кто-то пытается создать новый ботнет, на сей раз с использованием серверов, на которых установлена система WordPress.

Логично предположить, что «расселение» Wigon по сайтам на WordPress может быть (хотя этого и нельзя пока утверждать однозначно) следствием как раз одной из этих кампаний.

Как бы там ни было, данная история — очередной повод для компаний, использующих эту систему, проверить свои серверы и установленные CMS на уязвимости и провести все необходимые обновления. Причём как можно скорее.

Ботнеты не возникают из ниоткуда. В большинстве случаев, среднестатистический компьютер, входящий во вредоносную сеть, — это старая пользовательская машина с пиратской версией Windows (чаще всего Windows XP) и давно просроченным антивирусом. Тем не менее, уже тот факт, что, например, вышеупомянутый Wigon может работать и под Windows XP (в том числе 64-битной) и под Windows 8, намекает на то, что далеко не одни только старые машины могут превращаться в т.н. «зомби», заваливающие спамом коммуникационные каналы и рассылающие вредоносный софт. Более того, это необязательно сугубо пользовательские машины: при наличии возможности подсадить троянцев в корпоративную сеть или организовать прямо в ней контрольный сервер для ботнета хакеры не преминут это сделать, поскольку корпоративные широкополосные каналы, понятное дело, позволяют рассылать большее количество всякого информационного мусора.