Другие новости
Toshiba TV интегрировала чип REGZA Engine ZRi на базе искусственного интеллекта
Состоялся визит МСП из России в Цзянся для налаживания торгово-экономического сотрудничества
Вице-президент «Тинькофф» рассказал о планах банков создать альтернативную платежную систему
Андрей Борис рассказал о втором гражданстве как способе свободного передвижения по миру
«Здоровое Отечество» поучаствует в проведении мероприятий для инвалидов
ЕвроХим ввел в эксплуатацию современный комплекс по производству фосфатных удобрений в Бразилии
Хакерская программа атакует серверы электронной почты и FTP методом брутфорса
Экономика
Эксперты по информационной безопасности обнаружили, что некоторые версии вредоносного ПО Fort Disco используют брутфорс для взлома паролей на POP3 и FTP серверах.
Вредоносная программа, известная как Fort Disco, впервые была зафиксирована в августе этого года исследователями из Arbor Networks , занимающейся смягчением последствий DDoS атак. Эксперты компании подсчитали, что Fort Disco заразила более 25 тысяч Windows-компьютеров, была использована для подбора паролей учетныхй записей администраторов более чем 6000 веб-сайтов, использующих WordPress, Joomla и DataLife Engine.
После заражения компьютера вредоносная программа периодически подключается к серверу командования и управления (C&C) для получения инструкций, которые обычно включают в себя список из тысячи целевых веб-сайтов и пароль, который нужно попробовать, чтобы получить доступ к учетной записи администратора.
По словам швейцарского эксперта по безопасности, отслеживающего ботнет Abuse.ch, вредоносная программа Fort Disco развивается. «Спускаясь вниз по кроличьей норе, я нашел вариант этой вредоносной программы, которая пыталась взломать POP3 – вместо WordPress», – написал он в понедельник в своем блоге.
Почтовый протокол версии 3 (POP3) позволяет клиентам e-mail подключаться к почтовым серверам и получать сообщения из существующих учетных записей.
Для этого конкретного варианта Fort Disco, сервер C&C отправляет список имён доменов, сопровождающийся соответствующими записями MX (записями почтового сервера). MX-записи для данного домена указывают серверы, на которые нужно отправлять электронную почту, предназначенную для адресов в данном домене.
Сервер C&C также предоставляет список стандартных учетных записей электронной почты – и как правило, это admin, info и support, для которых вредоносное ПО должно попытаться подобрать пароль, сказал швейцарский исследователь.
«В разговоре с парнями из Shadowserver (организации, которая отслеживает ботнеты), выяснилось, что они видели это семейство вредоносных программ, подбирающим пароли на FTP с использованием той же методологии», – сказал он.
Нападения на сайты с использованием метода полного перебора пароля, нацеленные на WordPress и других популярные системы управления контентом (CMS), являются довольно распространенным явлением, но они, как правило, осуществляются с использованием вредоносных скриптов на Python или Perl на серверах-изгоях, сказал исследователь. С помощью этой вредоносной программы злоумышленники создали способ распространения своих атак с использованием большого количества машин, а также возможность атаковать POP3 и FTP серверы, сказал он.