Ботнет использует эксплоит для vBulletin для защиты от конкурентов

Исследователь Трой Марш (Troy Mursch) из компании Bad Packets Report обнаружил ботнет, который эксплуатирует уязвимость в одной из популярных программ для интернет-форумов vBulletin для защиты уязвимых серверов. Таким образом ботнет блокирует другим вредоносным программам доступ к серверам и наращивает собственную армию скомпрометированных серверов, не опасаясь конкуренции. Напомним, что ранее на этой неделе в Сети была опубликована информация и PoC-код для критической уязвимости в vBulletin.

Ботнет, взламывая уязвимый сервер с помощью эксплоита, использует его для изменения уязвимого файла исходного кода таким образом, чтобы требовался пароль для выполнения команд. Поскольку только злоумышленники знают пароль, они будут единственными, кто сможет выполнять команды на сервере.

Исследователь зафиксировал атаки из разных стран, причем Бразилия, Вьетнам и Индия являются тремя крупнейшими их источниками.

«Что касается того, почему злоумышленники делают это, то, скорее всего, они хотят создать набор ботов, пока придумывают дополнительные способы использования скомпрометированных хостов — например, заражение их вредоносным ПО для DDoS-атак или организация DoS-атак», — предположил Марш.

Пользователям версий vBulletin 5.5.2, 5.5.3 или 5.5.4 настоятельно рекомендуется установить официальные патчи vBulletin.