02.12.2022

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Новый троян Cridex/Dapato распространяется через WordPress-сайты

 

В конце января эксперты из M86 Security Labs обнаружили массовое заражение сотен сайтов на движке WordPress 3.2.1. Тогда сообщалось, что используя известную уязвимость устаревшей версии WordPress и уже опубликованные эксплойты для него, хакеры внедряют жертве в папку Uploads файл HTML с редиректом на страницу с эксплойт-паком Phoenix Exploit Kit. Хакеры используют их просто в качестве красивых URL, чтобы было проще обойти спам-фильтры, и рассылают спам, содержащий ссылку на вышеупомянутую страницу.

Сейчас появилась дополнительная информация по поводу этой атаки. Оказывается, после успешного выполнения эксплойта на компьютер жертвы устанавливается троян Cridex (Carberp или Dapato). Троян умеет подделывать веб-формы для 137 банков разных стран. Управление клиентской части программы осуществляется через сеть Fast-flux, так что трафик к командным C&C-серверам выглядит нетипично. Генерация доменных имён, используемых при этом, происходит по специальному алгоритму.

Как только находится живой прокси, троян скачивает кастомную конфигурацию из ботнета Cridex. Его функциональность примерно такая же, как у Zeus и SpyEye: сбор приватной информации, логинов и паролей — и отправка на удалённый сервер. Однако, Carberp специализируется именно на финансовых транзакциях.{jcomments on}