Другие новости
Аналитика доходности ASIC-майнеров и динамики BTC за сентябрь 2025 года
Заявки на конкурс «Лидеры цифровой трансформации» в Москве поступили из 27 стран
Более пяти тысяч участников объединил Moscow Startup Summit
Москвичи высоко оценили проект для владельцев собак «Друг, спасатель, защитник»
Уже более 14 тысяч москвичей подали заявки на вступление в волонтерский корпус 80-летия Победы
Хакерская программа атакует серверы электронной почты и FTP методом брутфорса
Экономика
Эксперты по информационной безопасности обнаружили, что некоторые версии вредоносного ПО Fort Disco используют брутфорс для взлома паролей на POP3 и FTP серверах.
Вредоносная программа, предназначенная для подбора пароля методом грубой силы (полного перебора) для атак на веб-сайты, созданные с использованием популярных систем управления контентом (таких как WordPress и Joomla), начала использоваться также для атаки на электронную почту и FTP серверы.
Вредоносная программа, известная как Fort Disco, впервые была зафиксирована в августе этого года исследователями из Arbor Networks , занимающейся смягчением последствий DDoS атак. Эксперты компании подсчитали, что Fort Disco заразила более 25 тысяч Windows-компьютеров, была использована для подбора паролей учетныхй записей администраторов более чем 6000 веб-сайтов, использующих WordPress, Joomla и DataLife Engine.
После заражения компьютера вредоносная программа периодически подключается к серверу командования и управления (C&C) для получения инструкций, которые обычно включают в себя список из тысячи целевых веб-сайтов и пароль, который нужно попробовать, чтобы получить доступ к учетной записи администратора.
По словам швейцарского эксперта по безопасности, отслеживающего ботнет Abuse.ch, вредоносная программа Fort Disco развивается. «Спускаясь вниз по кроличьей норе, я нашел вариант этой вредоносной программы, которая пыталась взломать POP3 – вместо WordPress», – написал он в понедельник в своем блоге.
Почтовый протокол версии 3 (POP3) позволяет клиентам e-mail подключаться к почтовым серверам и получать сообщения из существующих учетных записей.
Для этого конкретного варианта Fort Disco, сервер C&C отправляет список имён доменов, сопровождающийся соответствующими записями MX (записями почтового сервера). MX-записи для данного домена указывают серверы, на которые нужно отправлять электронную почту, предназначенную для адресов в данном домене.
Сервер C&C также предоставляет список стандартных учетных записей электронной почты – и как правило, это admin, info и support, для которых вредоносное ПО должно попытаться подобрать пароль, сказал швейцарский исследователь.
«В разговоре с парнями из Shadowserver (организации, которая отслеживает ботнеты), выяснилось, что они видели это семейство вредоносных программ, подбирающим пароли на FTP с использованием той же методологии», – сказал он.
Нападения на сайты с использованием метода полного перебора пароля, нацеленные на WordPress и других популярные системы управления контентом (CMS), являются довольно распространенным явлением, но они, как правило, осуществляются с использованием вредоносных скриптов на Python или Perl на серверах-изгоях, сказал исследователь. С помощью этой вредоносной программы злоумышленники создали способ распространения своих атак с использованием большого количества машин, а также возможность атаковать POP3 и FTP серверы, сказал он.
