Новый ботнет GoTrim вламывает пароли администраторов сайтов WordPress brute-force-атаками

Исследователи Fortinet FortiGuard Labs обнаружили вредоносную кампанию, в ходе которой новый ботнет на основе Golang взламывает сайты WordPress, чтобы затем захватить контроль над целевыми системами.

Новый метод является частью кампании, которую аналитики назвали GoTrim, потому что она была написана на Go и использует строку ‘:::trim:::’ для разделения данных, передаваемых на C&C-сервер и с него.

GoTrim кампания отслеживается с сентября 2022 года и использует ботнет-сеть для выполнения DDoS-атак при попытке входа на целевой веб-сервер, пишет Securitylab. После взлома оператор устанавливает PHP-скрипт загрузчика на скомпрометированный хост, который предназначен для развертывания «бота-клиента» с жестко заданного URL-адреса, добавляя машину в ботнет.

GoTrim не способен самораспространяться, доставлять другие вредоносные программы или сохранять постоянство в зараженной системе. Основная цель GoTrim:

• получение дальнейших команд от C&C-сервера;
• проведение брутфорс-атак на WordPress и OpenCart с использованием набора предоставленных учетных данных;
• работа в режиме сервера, когда ВПО запускает сервер для прослушивания входящих запросов, отправляемых злоумышленником (только если взломанная система напрямую подключена к Интернету);
• имитация легитимных запросов браузера Mozilla Firefox в 64-разрядной версии Windows для обхода защиты от ботов;
• обход защиты CAPTCHA на сайтах WordPress.

Когда несколько фрагментов информации об устройстве отправляются на C&C-сервер, поля разделяются с помощью строки «:::trim:::», отсюда и название компании.

«Хотя это вредоносное ПО все еще находится в стадии разработки, наличие у него полнофункционального инструмента перебора WordPress в сочетании с его методами уклонения от ботов, делает его очень опасным», — говорят исследователи.

Брутфорс-атаки могут привести к компрометации сервера и развертыванию вредоносных программ. Чтобы снизить этот риск, администраторы веб-сайтов должны убедиться, что учетные записи пользователей (особенно учетные записи администраторов) используют надежные пароли.