Фахівці Eset попередили про зростання активності трояна Sathurbot. Зловредів використовує для поширення торренти і об'єднує заражені комп'ютери в ботнет. Мережа Sathurbot діє з червня 2016 р. і налічує 20 тис. заражених пристроїв, розповіли CNews в компанії Eset.

Оператори Sathurbot поширюють троян через приховані сторінки з торрентами, які розміщують на скомпрометованих сайтах. Користувач потрапляє на такі сторінки з пошукової видачі, коли намагається знайти піратський фільм або софт.

Завантаживши торрент, користувач виявляє в ньому «інсталятор для кодека». Це виконуваний файл, після запуску якого в систему завантажується Sathurbot. Далі троян звертається до керуючого серверу, отримує команди і виконує їх в зараженій системі.

Sathurbot може завантажувати і запускати інші шкідливі програми. Фахівці Eset спостерігали установку Boaxxe, Kovter і Fleercivet, але не факт, що оператори трояна ними обмежаться.

Інша функція Sathurbot призначена для компрометації WordPress-сайтів. Троян отримує від керуючого сервера список з 5 тис. загальновживаним слів і використовує їх в якості пошукових запитів в Google, Bing і «Яндексі», об'єднуючи в фрази випадковим чином. Потім програма поповнює словниковий запас - вона вибирає по 2-4 нових слова з сайтів, які опинилися на перших сторінках пошукової видачі. Нові слова використовуються для другого раунду пошуку.

Далі Sathurbot вивчає сайти, отримані на другому етапі. Зловредів з'ясовує, які з них працюють на базі WordPress, звертаючись для цього до адреси імядомена / wp-login. php. Виявивши WordPress-сайт, троян повідомляє про це на другий керуючий сервер зловмисників.

Другий сервер призначений для компрометації сайтів шляхом перебору паролів. Він направляє на заражені комп'ютери в складі ботнета дані для авторизації на знайдених WordPress-сайтах. Кожен бот з 20 тис. намагається авторизуватися тільки один раз - це дозволяє уникнути блокування.

Через скомпрометовані сайти зловмисники розповсюджують шкідливі торренти. Частина комп'ютерів в складі ботнета бере участь в роздачі торрентів, частина - тільки підбирає облікові дані до WordPress-сайтам.