Publié par UnderNews Actu - Télécharger l'application Android

Le vol d’identifiants est un problème croissant au sein de la communauté de la sécurité informatique. Des chercheurs de Arbor Networks ont découvert un botnet appelé Fort Disco qui a été utilisé pour compromettre plus de 6000 sites Web basés sur les CMS populaires tels que WordPress, Joomla et Datalife.

Le botnet Fort Disco est actuellement composé de près de 25 000 machines Windows et reçoit une liste de sites à attaquer à partir d’un serveur de commande et de contrôle central. Les PC zombies reçoivent également une liste de combinaisons de nom d’utilisateur et de mot de passe commun, généralement composés des combinaisons par défaut et des mots de passe les plus courants, y compris « admin » ou « 123456« . Inutile bien entendu de vous rappeler l’importance de choisir des mots de passes forts

Le chercheur en sécurité de Arbor Networks, Matthew Bing, explique que l’attaque comprend plusieurs fonctionnalités avancées qui la rendent presque impossible à suivre pleinement et il a obtenu de précieuses informations sur le botnet en exploitant une mauvaise configuration du côté des assaillants qui a rendu possible l’analyse des logs sur plusieurs des six serveurs de commande et de contrôle découverts.

« Nous sommes tombés sur des journaux détaillés que l’attaquant laissé ouverts sur certains des serveurs de commande et de contrôle et nous avons pu reconstituer une image d’ensemble assez fidèle« , déclare Bing.

Le botnet Fort Disco est responsable d’une série d’attaques par force brute contre des milliers de sites Web, et des experts en sécurité ont découvert sur les sites Web compromis une variante du backdoor PHP « Filesman », utilisé par le botmaster ain de contrôler à distance les victimes.

La porte dérobée permet la gestion des fichiers des victimes et également le téléchargement et l’exécution de charges utiles malveillantes et bien sûr, elle est utilisée pour envoyer des commandes aux bots. Le shell PHP téléchargé sur les sites compromis permet en fait au botmaster d’utiliser des commandes pour des dizaines de milliers de bots rapidement.

Fort Disco est similaire aux attaques Brobot qui ont été utilisées au cours des attaques contre les entreprises de services financiers mondiales par les Anonymous. Arbor n’a pas de preuve que les attaques Fort Disco sont liées aux incidents de Brobot ou aux nombreuses campagnes de phishing qui ont été utilisées contre les banques.

PIA VPN

« Tout comme les attaques Brobot en début d’année 2013, et les assaillants se concentrent sur le ciblage des blogs et des systèmes de gestion de contenu, cela marque un changement tactique dans l’exploitation des mots de passe faibles et des logiciels populaires non mis à jour« , explique Bing.

Un type particulier a émergé de l’enquête, il s’agit d’un petit nombre de sites victimes qui ont également présentés une redirection PHP utilisée pour détourner les victimes vers des sites hébergeant le kit d’exploit Styx.

Les trois premiers pays en termes d’infections sont les Philippines, le Pérou et le Mexique. Bing a ajouté que les auteurs sont susceptibles de se trouver en Russie, étant donné que les C&C ont été découverts sur des adresses IP russes et ukrainiens, les caractères par défaut sont en cyrillique, et certaines chaînes d’erreur au sein du malware ont été écrites en russe…

Vous avez aimé cet article ? Alors partagez-le en cliquant sur les boutons ci-dessous :

Twitter Facebook Google Plus Linkedin Pinterest email
1 étoile2 étoiles3 étoiles4 étoiles5 étoiles (1 votes, note : 4,00 sur 5)
Loading...

Mots clés : , , , , , , , ,


Vos réactions