Pesquisadores identificaram variantes do malware Fort Disco que lançam ataques de força bruta contra servidores POP3 e FTP para descobrir senhas.
Um código malicioso projetado para lançar ataques de força bruta para descobrir senhas em sites desenvolvidos com sistemas de gestão de conteúdos populares, como WordPress e Joomla, começou a ser usado também para atacar servidores de email e FTP.
O malware é conhecido como Fort Disco e foi documentado em agosto por pesquisadores da Arbor Networks. A empresa estimou que o malware havia infectado mais de 25 mil computadores com Windows e foi usado para adivinhar senhas de contas de administradores em mais de 6 mil sites WordPress, Joomla e DataLife Engine.
Uma vez que o malware infecta um computador, ele se conecta periodicamente a um servidor de comando e controle (C&C) para obter instruções - geralmente incluem uma lista de milhares de sites para atingir e uma senha que deve ser tentada para acessar as contas de administrador.
O malware Fort Disco parece estar evoluindo, de acordo com um pesquisador de segurança suíço que mantém o serviço de rastreamento de botnets Abuse.ch. "Indo mais fundo na toca do coelho, eu encontrei uma amostra deste malware em particular que era de força bruta para POP3 em vez de WordPress", disse o especialista na segunda-feira (1), em um post em seu blog.
O Post Office Protocol versão 3 (POP3) permite que os clientes de e-mail se conectem a servidores de e-mail e recuperem mensagens de contas existentes.
O servidor C&C para esta variante do Disco Fort em particular responde com uma lista de nomes de domínio, acompanhados por seus registros MX correspondentes (registros Mail Exchanger). Os registros MX especificam quais servidores estão lidando com o serviço de e-mail para cada domínio.
O servidor também fornece uma lista de contas de e-mail padrão - geralmente admin, informações e suporte - para quais o malware deve tentar a força bruta para descobrir a senha, disse o responsável pela Abuse.ch.
"Ao falar com os caras da Shadowserver [uma organização que rastreia botnets], eles relataram que viram essa família de malware de força bruta para credenciais FTP que usam a mesma metodologia", disse.
Ataques de força bruta para adivinhar senhas contra sites WordPress e outros CMSs populares são relativamente comuns, mas eles geralmente usam os scripts maliciosos Python ou Perl hospedados em servidores desonestos, disse o pesquisador.
Com este malware, os cibercriminosos criaram uma maneira de distribuir seus ataques em um grande número de máquinas e também atacar servidores de FTP e POP3, concluiu.
Fonte: IDGNOW
Nenhum comentário:
Postar um comentário