15/03/19
Неизвестные злоумышленники распространяют по компьютерным системам под управлением Windows и Linux вредоносную программу, которая осуществляет брутфорс-атаки (подбор паролей) на различные серверы и онлайн-ресурсы, зачастую связанные с электронной коммерцией.
Программа StealthWorker (также известная как GoBrut) была впервые обнаружена в конце февраля 2019 г. компанией Malwarebytes. Сейчас эксперт фирмы FortGuard Labs Роммель Йовен (Rommel Joven) выяснил, что StealthWorker уже вовсю используется для атак на различные платформы.
Установлено, что StealthWorker изначально представлял собой многофункциональный вредонос, способный эксплуатировать большое количество уязвимостей в таких системах как Magento, phpMyAdmin, cPanelContentManagementSystems, а также осуществлять брутфорс-атаки распределенно. Уже известно, что именно эту программу использовали для атаки и внедрения скиммеров (считывателей паролей) на нескольких площадках электронной коммерции на базе Magento.
Роммел Йовен указывает, что распределенные брутфорс-атаки, производящиеся с нескольких IP, позволяют обходить защитные средства: те обычно срабатывают на множественные попытки перебора логинов-паролей с одного и того же IP-адреса.
Ранее злоумышленники распространяли StealthWorker с помощью серверного трояна WallyShack. Теперь же заражение осуществляется почти исключительно посредством брутфорса серверов со слабыми или предустановленными логинами и паролями.
Проникнув в систему вредонос создает запланированное задание средствами Windows или Linux, с помощью которых обеспечивает себе устойчивое присутствие, а затем отсылает контрольному серверу сообщение о готовности к работе и ожидает поступления команды об осуществлении атаки.
«Распределенные брутфорс-атаки — не столь частое явление, — говорит Михаил Зайцев, эксперт по информационной безопасности компании SECConsultServices. — С уверенностью можно сказать, что, как и распределенные DDoS-атаки, они куда результативнее, чем те, которые производятся из одного источника. Однако брутфорс практически бесполезен, если административные аккаунты атакуемого ресурса используют правильную парольную политику, двухфакторную авторизацию и другие рекомендуемые средства защиты».
