29.07.2021

Hack Pub

Новости интересные и малоизвестные из IT индустрии

Обнаружен крупный спам-бот Stealrat

Сегодня появилась информация о масштабном спам-боте под названием Stealrat. Для рассылки нежелательной корреспонденции Stealrat использует ряд незащищенных CMS, в том числе WordPress, Joomla!, а также Drupal.

Известно, что скрипт написан на РНР, а к коду применялся обфускатор. Сообщается, что Stealrat принимает данные массивом POST методом в Base64. Замечено также повторение строки « die ( PHP_OS. chr(49). chr(48). chr(43). md5 (0987654321)) ; ».

Спам-сообщения формируются со случайными именами отправителей. При этом учитывается домен инфицированного сайта. Затем бот пытается отправить электронное письмо, используя функцию php – mail. Если последняя недоступна, то Stealrat рассылает письма, содержащие ссылки на сайты с контентом для взрослых. Происходит это через проксирование html страничек. Стоит отметить, что наименование скриптом происходит случайным образом (styles.php, del.php, up.php, bak.php, image.php, test.php, code.php и пр.). Если папки не имеют индексного файла, или он пустой, используется index.php.

Неизвестно, на протяжении какого времени активен Stealrat, однако на текущий момент в логах зафиксировано свыше 580 тысяч POST обращений, порядка 1200 уникальных IP-адресов, а также зараженных ресурсов из 59 стран. Наибольшее количество инфицированных сайтов располагаются в Росси, США и Германии.