A botnet KashmirBlack, focada em criptomineração, spam e desfiguração, infectou sites que executam sistemas de gerenciamento de conteúdo (CMS) populares, como WordPress, Joomla, Magneto e Drupal, de acordo com informações da empresa de segurança online Imperva obtidas pela DarkReading.
Segundo as informações, a botnet usa uma infraestrutura modular que inclui recursos como comunicações de balanceamento de carga com servidores de comando e controle e armazenamento de arquivos em serviços de armazenamento em nuvem, como Dropbox e GitHub, para acelerar o acesso a novas atualizações de código para os sistemas infectados.
A botnet KashmirBlack infecta principalmente plataformas CMS populares, explorando vulnerabilidades conhecidas em servidores, realizando milhões de ataques por dia em média, de acordo com relatórios publicados pelos pesquisadores da Imperva. Como os CMS muitas vezes não são mantidos atualizados, podem ser explorados com vulnerabilidades públicas.
Para coletar informações sobre a botnet em um trabalho investigativo de quase um ano, os pesquisadores personificaram um servidor infectado e criaram um servidor honeypot que executava um dos portais CMS direcionados. O "servidor de propagação" permitiu aos pesquisadores coletarem comandos e scripts que foram comunicados à botnet. Quando um site comprometido foi configurado para continuar a espalhar o software malicioso, os pesquisadores descobriram que ele atacava uma média de 240 hosts, ou 3.450 sites por dia. Os pesquisadores estimaram que cerca de 230 mil sites foram comprometidos nos últimos 11 meses.
Recommended Comments
There are no comments to display.
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.