«Доктор Веб» предупредил о троянце, подбирающем пароли к популярным CMS
«Доктор Веб» обнародовала данные об очередном вредоносе, обнаруженном специалистами этой компании. Троянец получил наименование Trojan.WPCracker.1 и предназначен он для взлома web-ресурсов, функционирующих на наиболее распространенных CMS, таких как Вордпресс.
Посредством этого зловреда кибераферисты могут сменить содержимое ресурса или заразить сайт другими троянскими программами, могущими впоследствии угрожать посетителям сайта. Кстати, именно с WPCracker.1 некоторые эксперты связывают наблюдаемый ныне всплеск атак на web-ресурсы.
Работает Trojan.WPCracker.1 по следующему принципу: внедрившись в устройство троянец приступает к созданию собственной копии в какой-нибудь системной папке, а также модифицирует часть реестра Windows, ответственную за автозапуск приложений. Затем зловред соединяется с кибермошенниками, обращаясь к их удаленному серверу.
Аферисты отсылают троянской программе список ресурсов, функционирующих на одной из распространенных CMS (того же WordPress или Joomla), получив который вредонос приступает к подбору паролей. Если подбор произойдет успешно, то подобранный пароль троян тут же отправляет на мошеннический сервер. Кроме потери контроля над проектом вы получаете так называемую Flood (Brute Force) атаку на wordpress которая увеличивает нагрузку и замедляет работу.
Впоследствии авторы WPCracker.1 перепродают доступ к взломанным ресурсам «на сторону» (обычно другим злоумышленникам). После этого «новые» администраторы взломанного ресурса обычно полностью изменяют его контент или просто заражают «купленный» сайт с целью дальнейшего распространения вредоносов через новых посетителей такого сайта.