Обнаружен «вымогатель для Drupal», способный к саморепликации и организации ботнетов

Исследователи компании «Доктор Веб» предупредили о появлении нового Linux-трояна, способного атаковать сайты, работающие под управлением различных CMS, осуществлять DDoS-атаки, рассылать электронные письма и самостоятельно распространяться по сети.

Троян, окрещенный пользователями форума Kernelmode «вымогателем для Drupal», получил наименование Linux.Rex.1 (по классификации «Доктор Веб»). В архитектуре вредоноса реализован собственный протокол, позволяющий обмениваться данными с другими зараженными узлами и создавать децентрализованный P2P-ботнет, при этом инфицированный компьютер служит одним из улов сети.

Вредоносная программа получает от других зараженных компьютеров команды по протоколу HTTPS и при необходимости отправляет их другим узлам ботнета. По команде злоумышленников троян начинает или прекращает атаку на узел с заданным IP-адресом. Linux.Rex.1 обладает модулем, при помощи которого осуществляет поиск ресурсов с установленными CMS-системами Drupal, Wordpress, Magento, JetSpeed и пр. Также в сфере его интересов находится сетевое оборудование под управлением операционной системы AirOS. Троян эксплуатирует уязвимости в данных продуктах с целью получения списка пользователей, закрытых SSH-ключей, а также логинов и паролей, хранящихся на закрытых узлах.

Функционал вредоноса также включает возможность рассылки электронных сообщений. В письмах злоумышленники угрожают DDoS-атакой владельцам сайтов и предлагают выплатить выкуп в биткойнах для ее предотвращения.

Троян эксплуатирует известную уязвимость в Drupal для взлома ресурсов под управлением данной CMS. Осуществив SQL-инъекцию, вредонос авторизуется в системе. В случае успеха Linux.Rex.1 загружает на скомпрометированный сайт собственную копию и запускает ее.