Brute-Force-Malware zielt auf e-Mail- und FTP-Servern

2014-01-08  |  Comebuy News

Ein Stück Malware entwickelt, um Brute-Force-Passwort erraten Angriffe gegen Websites gebaut mit beliebten Content Managementsysteme wie WordPress und Joomla hat begonnen, auch Angriffe von e-Mail- und FTP-Servern auf.

Comebuy Verwandte Artikel: Arbor's Fort Disco Botnet hat eine Hit-Liste von mehr als 400.000 DomainsBlogs, anderen Content-Management-Websites gezielt von Kennwort ThievesJoomla Patches Datei Manager Anfälligkeit verantwortlich entführten websites5 Schritte zur Verbesserung Ihrer WordPress Online Business SiteTactics von WordPress Angreifer ähnlich wie Bank-Angriffe

Die Malware ist bekannt als Fort Disco und wurde im August von Forschern DDoS Mitigation Kreditors Arbor Networks, schätzt, dass es mehr als 25.000 Windows-Computer infiziert hatte und Administrator Kontokennwörter auf über 6.000 WordPress, Joomla und Datalife Engine Websites erraten benutzt worden, dokumentiert.

Sobald es einen Computer infiziert, verbindet die Malware in regelmäßigen Abständen auf einen Befehl und Kontrolle (C & C) Server zum Abrufen von Anweisungen, die in der Regel eine Liste von Tausenden von Websites für Ziel- und ein Kennwort, das versucht werden sollte enthalten, zu ihren Administratorkonten zugreifen.

Die Fort-Disco-Malware scheint weiterentwickelt werden, laut einer Schweizer Sicherheitsexperte unterhält das Abuse.ch-Botnet Überwachungsdienst. "Going down the Rabbit Hole, ich habe eine Probe von diesem bestimmten Malware, die Brute-POP3 statt WordPress Anmeldeinformationen zwingen wurde gefunden," sagte er in einem Blog-Post Montag.

Die Post Office Protocol Version 3 (POP3) kann e-Mail-Clients die Verbindung zum e-Mail-Server und Abrufen von Nachrichten von vorhandenen Konten.

Das C & C Server für diese bestimmte Fort Disco-Variante antwortet mit einer Liste von Domain-Namen zusammen mit ihren entsprechenden MX-Einträge (Mail Exchanger-Einträge). Die MX-Datensätze angeben, welche Server e-Mail-Service für diese bestimmten Domänen abarbeiten.

Das C & C Server stellt auch eine Liste von standard-Email-Konten--in der Regel Admin, Info und Support – wofür die Malware Berserker sollten des Kennworts zu erzwingen, der Abuse.ch Betreuer sagte.

"Beim sprechen mit den Jungs über bei Shadowserver [eine Organisation, die Botnets verfolgt], sie meldeten, dass sie gesehen haben, diese Malware-Familie Bruteforcing FTP-Anmeldeinformationen verwenden die gleiche Methodik," sagte er.

Brute-Force-Angriffe auf Websites mit WordPress und anderen beliebten CMS sind relativ häufig, aber sie werden in der Regel durchgeführt mit bösartigen Python oder Perl-Skripts, die auf Rogue-Server gehostet, sagte der Forscher erraten von Kennwörtern. Mit dieser Malware erstellt Cyberkriminelle ihre Angriffe auf eine große Anzahl von Maschinen zu verteilen und auch POP3- und FTP-Server, angreifen, sagte er.

« Back