Специалисты компании Fortinet обнаружили новую написанную на Go малварь GoTrim, которая сканирует интернет в поисках WordPress-сайтов и пытается брутфорсом подобрать пароль администратора, чтобы получить контроль над ресурсом.
Такие атаки могут привести к развертыванию малвари, внедрению на сайты скриптов для кражи банковских карт, размещению фишинговых страниц и другим сценариям атак, потенциально затрагивающих миллионы пользователей (в зависимости от популярности взломанных ресурсов).
Эксперты пишут, что GoTrim еще находится в разработке, но уже обладает мощными возможностями. Атаки ботнета начались в конце сентября 2022 года и продолжаются до сих пор.
Операторы вредоноса передают свои ботам длинный список целевых ресурсов и список учетных данных, после чего малварь подключается к каждому сайту и пытается брутфорсить учетные записи администраторов, используя логины и пароли из имеющегося списка.
В случае успеха GoTrim входит в систему на взломанном сайте и передает информацию о новом заражении на управляющий сервер (включая идентификатор бота в виде хэша MD5). Затем вредонос использует PHP-скрипты для извлечения бот-клиента GoTrim с жестко заданного URL-адреса, а потом удаляет из зараженной системы как скрипт, так и брутфорс-компонент.
Фактически GoTrim может работать в двух режимах: «клиент» и «сервер». В клиентском режиме малварь инициирует подключение к управляющему серверу ботнета, а в серверном режиме сама запускает HTTP-сервер и ожидает входящие запросы. Так, если взломанный эндпойнт напрямую подключен к интернету, вредонос по умолчанию использует режим сервера.
GoTrim отправляет запросы на сервер злоумышленников каждые несколько минут, и если бот не получает ответа после 100 попыток, он прекращает работу.
C&C-сервер может отправлять GoTrim следующие зашифрованные команды :
- проверить предоставленные учетные данные для доменов WordPress;
- проверить предоставленные учетные данные для доменов Joomla! (пока не реализовано);
- проверить предоставленные учетные данные для доменов OpenCart;
- проверить предоставленные учетные данные для доменов Data Life Engine (пока не реализовано);
- обнаружить установки CMS WordPress, Joomla!, OpenCart или Data Life Engine в домене;
- ликвидировать малварь.
Интересно, что ботнет старался избежать внимания команды безопасности WordPress и не атаковал сайты, размещенные на WordPress.com, нацеливаясь только на сайты с собственными серверами. Это реализовано путем проверки HTTP-заголовка Referer на наличие «wordpress.com».
«Провайдеры управляемого хостинга WordPress, такие как wordpress.com, обычно имеют больше мер безопасности для отслеживания, обнаружения и блокировки попыток брутфорса, чем сайты, размещенные на собственном хостинге. Поэтому потенциально успешная атака не стоит риска обнаружения», — объясняют исследователи.
Также отмечается, что если целевой сайт использует плагин CAPTCHA для борьбы с ботами, малварь обнаружит его и загрузит соответствующий решатель. В настоящее время GoTrim поддерживает семь популярных плагинов CAPTCHA.
Кроме того, эксперты заметили, что ботнет избегает атаковать сайты, размещенные на 1gb.ru, но точные причины такого поведения не установлены.
Для защиты от GoTrim и других подобных угроз специалисты рекомендуют администраторам сайтов использовать надежные пароли, не использовать пароли повторно, а также всегда применять двухфакторную аутентификацию, если это возможно.