H Akamai SIRT (Security Intelligence Research Team) έχει ανακαλύψει ένα νέο spam botnet που κυκλοφορεί και σύμφωνα με την ανάλυση της εταιρείας, το botnet αυτό, που ονομάζεται Torte, προσβάλλει τα μηχανήματα μέσω ELF Linux binaries και PHP scripts που τοποθετούνται στο σύστημα αρχείων του διακομιστή.

Η Akamai λέει ότι το botnet δεν είναι το μεγαλύτερο που έχει δει, αλλά είναι ένα από τα μεγαλύτερα των τελευταίων ετών, όντας υπεύθυνο για 83.000 μολύνσεις σε 2 από τα 4 επίπεδα μόλυνσης.

Ενώ οι ELF binary λοιμώξεις έχουν βρεθεί μόνο σε μηχανήματα Linux, τα μολυσμένα PHP scripts έχουν ανακαλυφθεί σε όλους τους τύπους των λειτουργικών συστημάτων για διακομιστές, δείχνοντας ότι οι κυβερνο-απατεώνες πίσω από αυτή την τελευταία εκστρατεία έχουν την ικανότητα να στοχεύουν σε ένα ευρύτερο πεδίο από ευπαθή συστήματα.

Η Akamai πρώτη φορά ήρθε αντιμέτωπη με την παρουσία αυτού του botnet, όταν η SIRT ομάδα της έλαβε ένα ύποπτο PHP script για ανάλυση.

Αυτό το σκριπτάκι ήταν ένα πολύ μικρό μέρος του bοtnet, υπεύθυνο για τη λήψη και μόλυνση των μηχανημάτων με πιο εξειδικευμένα εργαλεία.

Με βάση τον τύπο του λειτουργικού συστήματος και την hardware αρχιτεκτονική, το κομμάτι αυτό θα κατεβάσετε συγκεκριμένα αρχεία που θα χειριζόταν με μια σειρά από εργασίες.

Οι περισσότερες από αυτές ήταν πανομοιότητες και χρησιμοποιούσαν τις διευθύνσεις URL ενσωματωμένες σε κακόβουλα αρχεία, τα slaves του botnet θα κατέβαζαν πρότυπα ηλεκτρονικού ταχυδρομείου, θα ξεκινούσαν δυναμικά τη συναρμολόγηση μηνυμάτων ηλεκτρονικού ταχυδρομείου που βασίζονται σε C&C οδηγίες και στη συνέχεια θα τα έστελναν στα θύματα.

Για το πώς χρησιμοποιήθηκαν τα PHP scripts για να μολύνουν τις μηχανές, οι ερευνητές της Akamai ήταν σε θέση να περιορίσουν την πηγή αυτών των λοιμώξεων σε WordPress sites που χρησιμοποιούν ελλιπή configuration και πρακτικές plugin.

Παραδόξως, οι κακές πρακτικές configuration επέτρεψαν στους ερευνητές να χρησιμοποιήσουν σε συγκεκριμένη πορεία αναζήτησης στη Google για να βρουν μολυσμένα sites που σε ορισμένες περιπτώσεις κατέγραφαν τα μηνύματα λάθους τους σε προσιτά για κοινό directories.

Μερικές από τις προηγούμενες μολύνσεις για τις οποίες κατηγορήθηκε το Torte botnet καταγράφηκαν από τις 7 του Νοέμβρη 2014 (μέσω PHP scripts), καθώς και τα μέσα Αύγουστο του 2014 (για τα εκτελέσιμα ELF). Τα ELF binaries δεν ανιχνεύθηκαν ως κακόβουλο λογισμικό από τα προγράμματα προστασίας από τους ιούς.

Η Akamai αναφέρει ότι το 60% όλων των ενεργών λοιμώξεων παραμένει στα WordPress sites, ενώ στα Joomla αντιπροσώπευαν μόνο το 4%.