As pessoas por trás dele usam vulnerabilidades conhecidas em plataformas CMS e plug-ins. Eles contrabandearam um criptominer sobre ele. Segundo Imperva, o botnet agora conta com uma "infraestrutura massiva".

Os pesquisadores de segurança da Imperva culpam o botnet KashmirBlack, que está ativo desde novembro de 2019, por inúmeros ataques a sites e seus sistemas de gerenciamento de conteúdo, como WordPress, Joomla e Drupal. O objetivo da campanha é infectar os servidores dos sites com malware , a fim de minerar criptomoedas. De acordo com os pesquisadores, o botnet agora atingiu um tamanho que permite que as pessoas por trás dele tenham como alvo milhares de sites todos os dias. Para isso, entre outras coisas, a infraestrutura de comando foi ampliada em maio e o arsenal de exploits disponíveis foi ampliado. A infraestrutura agora deve consistir em mais de 60 servidores.

“O botnet gerencia centenas de bots, cada um dos quais se comunica com os servidores de comando para receber novos alvos, realizar ataques de força bruta, instalar backdoors e expandir o tamanho do botnet”, explicaram os pesquisadores da Imperva.

O botnet encontra novas vítimas em potencial quando verifica sites que usam software desatualizado. Os ataques usam explorações de vulnerabilidades conhecidas para infectar os sites e seus servidores.

De acordo com os pesquisadores, os cibercriminosos implantaram um total de 16 falhas de segurança desde novembro de 2019. Isso inclui bugs conhecidos em PHPUnit, JQuery, Joomla, Magento, Yeager CMS, WordPress, vBulletin, WebDAV e plug-ins para várias plataformas. As vulnerabilidades permitem que códigos maliciosos sejam contrabandeados e executados remotamente, ataques de força bruta ou qualquer arquivo a ser carregado. As plataformas CMS, PrestaShop, Magento, osCommerce e OpenCart também são afetadas.

"Durante nossa pesquisa, vimos que ele evoluiu de um botnet de médio porte com recursos básicos para uma infraestrutura massiva", acrescentaram os pesquisadores. Por trás do botnet, eles suspeitam de um hacker chamado Exect1337, que por sua vez pertence a um grupo de hackers indonésio conhecido como PhantomGhost.

Fonte: ZDNet