Специалисты компании ESET предупредили о росте активности трояна Sathurbot, который использует для распространения торренты и объединяет зараженные компьютеры в бот-сеть.
Впервые о трояне стало известно в июне 2016 года, и к настоящему времени им заражены около 20 тысяч устройств.
В первую очередь опасность угрожает пользователям, которые пытаются найти и скачать пиратский фильм или софт: поисковая выдача может привести их на скрытые страницы с торрентами на скомпрометированных сайтах. Загрузив торрент, пользователь обнаруживает в нем "инсталлятор для кодека" - исполняемый файл, после запуска которого в систему загружается Sathurbot. Далее троян обращается к управляющему серверу, получает команды и выполняет их в зараженной системе.
Sathurbot может загружать и запускать другие вредоносные программы, а также компрометирует WordPress-сайты. Троян получает от управляющего сервера список из пяти тысяч общеупотребимых слов и использует их в качестве поисковых запросов в Google, Bing и Яндексе, объединяя в случайные фразы. Затем программа пополняет словарный запас, выбирая новые слова на сайтах, оказавшихся на первых страницах поисковой выдачи. Новые слова используются для второго раунда поиска.
Потом троян выясняет, какие из попавших в его поле зрения новых сайтов работают на базе WordPress, и сообщает о таких на второй управляющий сервер злоумышленников.
Второй сервер предназначен для компрометации сайтов путем перебора паролей. Он направляет на зараженные компьютеры в составе ботнета данные для авторизации на найденных WordPress-сайтах. Каждый из 20 тысяч ботов пытается авторизоваться только один раз, что и позволяет избежать блокировки.
Через скомпрометированные сайты злоумышленники распространяют вредоносные торренты. Часть компьютеров в составе ботнета участвует в раздаче торрентов, часть - только подбирает учетные данные к WordPress-сайтам.