Les chercheurs en sécurité d'Imperva ont retrouvé et analysé un botnet hautement sophistiqué qui, selon eux, est responsable de l'infection de centaines de milliers de sites Web en attaquant leurs plates-formes de système de gestion de contenu (CMS). Le botnet, appelé KashmirBlack, fonctionne depuis novembre de l'année dernière, et alors qu'il a commencé petit, il est maintenant devenu une opération sophistiquée capable d'attaquer des milliers de sites chaque jour. Dans leur série de blogs en deux parties intitulée "CrimeOps of the KashmirBlack Botnet", les chercheurs d'Imperva ont expliqué que l'objectif principal du botnet est d'infecter les sites Web afin d'utiliser leurs serveurs pour exploiter la crypto-monnaie. Redirigez le trafic Web légitime vers des pages de spam et affichez les défections Web. Les opérateurs de KashmirBlack ciblent des vulnérabilités connues pour prendre le contrôle de sites exécutant une grande variété de plates-formes CMS populaires, notamment WordPress, Joomla!, PrestaShop, Magento, Drupal, vBullentin, osCommerce, OpenCart et Yeager.
Cachemire
Ofir Shaty et Sarit Yerushalmi d'Imperva ont fourni des informations supplémentaires sur les capacités de KashmirBlack dans un article de blog, en disant : « Le botnet KashmirBlack infecte principalement les plates-formes CMS populaires. Il utilise des dizaines de vulnérabilités connues sur les serveurs de ses victimes, effectuant des millions d'attaques par jour en moyenne, sur des milliers de victimes dans plus de 30 pays différents à travers le monde. Il a une opération complexe gérée par un serveur C&C (commande et contrôle) et utilise plus de 60 serveurs de substitution pour la plupart innocents dans le cadre de son infrastructure. Gérez des centaines de bots, chacun communiquant avec le C&C pour recevoir de nouvelles cibles, effectuer des attaques par force brute, installer des portes dérobées et étendre la taille du botnet. " Pour étendre la taille de son botnet, KashmirBlack recherche sur Internet des sites avec des logiciels obsolètes. Lorsqu'il en trouve un, ses opérateurs utilisent des exploits pour les vulnérabilités connues pour infecter à la fois le site vulnérable et son serveur sous-jacent. Depuis sa création en novembre L'année dernière, le botnet a abusé de 16 vulnérabilités dans Joomla!, Magento, Yeager, WordPress, vBulletin et d'autres logiciels CMS selon Imperva. groupe PhantomGhost, il est la personne derrière KashmirBlack.Via ZDNet