Un software malware conceput pentru a lansa atacuri de tip brute-force (pentru ghicit parole) impotriva site-urilor construite pe platforme de management de continut, cum ar fi WordPress si Joomla, a inceput sa fie folosit si pentru a ataca servere de e-mail si FTP.
Acest malware este cunoscut sub numele de Fort Disco si a fost studiat inca din luna august de catre cercetatorii Arbor Networks, care au estimat la vremea respectiva ca a infectat peste 25.000 de computere Windows si a fost folosit pentru a ghici parolele conturilor de administrator a peste 6.000 de site-uri WordPress si Joomla.
Odata ce infecteaza un calculator, malware-ul se conecteaza periodic la un server de comanda si control (C&C) pentru a primi instructiuni, care includ de obicei o lista cu mii de site-uri potential vulnerabile si cu parolele care ar trebui sa fie incercate pentru a accesa conturile lor de administrator.
Potrivit unui cercetator de securitate elvetian care detine serviciul de urmarire a botnet-urilor Abuse.ch, malware-ul Fort Disco pare sa evolueze.
“Investigand mai amanuntit, am gasit o mostra a acestui malware care a incercat prin intermediul unui atac brute-force sa obtina datele de acces la un cont de mail POP3”, a declarat acesta.
Protocolul Post Office Protocol versiunea 3 (POP3) permite clientilor descarcarea mesajelor e-mail de pe un server de web hosting.
Serverul C&C al acestei variante Disco Fort trimite o lista cu nume de domenii, insotite de inregistrarile MX (mail exchanger) corespunzatoare. Inregistrarile MX specifica serverele care se ocupa de serviciul de e-mail pentru domeniile respective. De asemenea, serverul C&C furnizeaza si o lista cu adrese standarad de e-mail (de obicei admin@domeniu.com, info@domeniu.com sau support@domeniu.com) pentru care malware-ul sa incerce sa ghiceasca parola prin atacuri brute-force.
Ghicitul parolelor prin atacuri brute-force directionate impotriva site-urilor ce folosesc WordPress si alte CMS-uri populare sunt relativ comune, dar sunt facute de obicei folosind scripturi malitioase Python sau Perl gazduite pe servere compromise. Cu acest tip de malware, atacatorii ciberneticii au creat o modalitate de a-si distribui atacurile asupra unui numar mare de calculatoare, vizand in acelasi timp si serverele POP3 si FTP.