Pesquisadores de segurança Imperva rastrearam e analisaram um botnet altamente sofisticado que acreditam ser responsável por infectar centenas de milhares de sites, atacando seu sistema de gerenciamento de conteúdo (CMS) plataformas.
O botnet, chamado KashmirBlack, está em funcionamento desde novembro do ano passado e, embora tenha começado pequeno, agora se tornou uma operação sofisticada capaz de atacar milhares de sites todos os dias.
Em sua série de blog em duas partes intitulada “CrimeOps da KashmirBlack Botnet”, Explicam os pesquisadores da Imperva que o objetivo principal da botnet é infectar sites para usar seus servidores mina de criptomoeda, redireciona o tráfego legítimo da web para páginas de spam e exibe web warps.
Os operadores KashmirBlack visam vulnerabilidades conhecidas para assumir sites que executam uma ampla variedade de plataformas CMS populares, incluindo WordPress, Joomla!, PrestaShop, Magento, Drupal, vBullentin, osCommerce, OpenCart e Yeager.
Botnet KashmirBlack
Ofir Shaty e Sarit Yerushalmi da Imperva forneceram mais informações sobre as capacidades de KashmirBlack em um postagem do blog, dizendo:
“O botnet KashmirBlack infecta principalmente plataformas CMS populares. Ele usa dezenas de vulnerabilidades conhecidas nos servidores de suas vítimas, realizando milhões de ataques por dia em média, em milhares de vítimas em mais de 30 países diferentes ao redor do mundo. Possui uma operação complexa gerenciada por um servidor C&C (comando e controle) e utiliza mais de 60 servidores, em sua maioria substitutos inocentes, como parte de sua infraestrutura. Ele gerencia centenas de bots, cada um dos quais se comunica com o C&C para receber novos alvos, realizar ataques de força bruta, instalar backdoors e expandir o tamanho do botnet. “
Para expandir o tamanho de seu botnet, o KashmirBlack varre a Internet em busca de sites com software desatualizado. Quando encontra um, seus operadores usam exploits para vulnerabilidades conhecidas para infectar o site vulnerável e seu servidor subjacente.
Desde seu início em novembro do ano passado, o botnet abusou de 16 vulnerabilidades no Joomla!, Magento, Yeager, WordPress, vBulletin e outros softwares CMS de acordo com a Imperva. No entanto, pesquisadores da empresa de segurança acreditam que um hacker, que atende pelo nome de Exect1337 e é membro do grupo de hackers indonésio PhantomGhost, é a pessoa por trás do KashmirBlack.
Através da ZDNet
