Secondo i ricercatori di ESET, il trojan Sathurbot utilizza siti WordPress compromessi per diffondersi. La botnet conterebbe almeno 20.000 PC.

Ebbene si, purtroppo ESET ha individuato nuovi attacchi associati al Trojan Sathurbot che per diffondersi sfruttano un gran numero di siti compromessi (la maggior parte gestiti con WordPress) trasformandoli in veri centri di distribuzione del trojan in questione.

Secondo gli esperti la backdoor è attiva dal giugno 2016 ed utilizza collegamenti a file Torrent che consentono apparentemente il download di film molto popolari. Le vittime cadono nel raggiro con estrema facilità soprattutto grazie al fatto che molti dei siti compromessi hanno un buon ranking sui motori di ricerca e appaiono quindi nei primi posti delle ricerche online.

Ecco un esempio dei risultati ottenuti sui motori di ricerca:

L’utente, ignaro del pericolo, scarica il file con un’estensione video, insieme ad un eseguibile e un file di testo di accompagnamento che spiega come sia necessario installare un codec (l’eseguibile allegato) per poter guardare il film.

Ecco alcuni siti su cui si viene indirizzati cliccando sui risultati ottenuti:

Naturalmente è tutto falso: chi avvia il presunto codec si trova davanti a un falso messaggio di errore, mentre il Sathurbot si installa sul sistema.

Il trojan si mette subito al lavoro e contatta il proprio server di comando e controllo da cui riceve due tipi di istruzioni: o l’utilizzo della backdoor per installare ulteriori malware sul computer infetto o l’utilizzo del Pc per eseguire ricerche su Internet e individuare altri siti WordPress, che a loro volta verranno utilizzati per infettare altri Pc. Insomma, un sistema ben congegnato dai cybercriminali per alimentare la botnet, che secondo gli esperti di ESET conterebbe almeno 20.000 Pc.

Potrebbero anche interessarti:

• Truffe Bancomat: 5 consigli di ESET per evitarle
• Ransomware su Smart TV e Smartwatch: Come proteggersi
• ESET Parental Control: l’App Android a misura di bambino