ブルートフォースパスワードクラッキング攻撃を使って、WordPressやJoomlaのような人気の高いコンテンツ管理システムを利用しているウェブサイトに侵入するように設計されたマルウェアのクラスが出現し、また電子メールやFTPサーバーもターゲットにし始めています。
Fort Disco と呼ばれるこのマルウェアは、現在推定 25,000 台以上の Windows コンピュータに感染しており、WordPress、Joomla、および Datalife Engine のウェブマスターアカウントのパスワード 6,000 件以上に及んでいます。
コンピュータが感染すると、マルウェアは定期的にコマンド・アンド・コントロール・サーバに接続し、コマンドを取得します。コマンドには、何千ものウェブサイトやパスワードのリストが含まれていることが多く、常に管理者アカウントにアクセスしようとします。
Abuse.chのボットネット追跡サービスを担当しているスイスのセキュリティ研究者は、「Fort Discoマルウェアは常に流動的な状態にあるようです。「このマルウェアは、WordPressの証明書ではなく、POP3をブルートフォースすることを目的としています。
Post Office Protocol version 3(略してPOP3)は、メールクライアントがメールサーバーに接続し、既存のアカウントから情報を取得することを可能にします。
このフォートディスコの亜種が使用するC&Cサーバーは、対応するMXレコードに基づいてドメインリストに返信します。このMXレコードは、特定のドメインで電子メールサービスを扱うサーバーの詳細を示します。
C&Cサーバーはまた、標準化された一連の電子メール・アカウント・リスト(通常、管理者、メッセージング、サポート・アカウント)を提供し、マルウェアはそれを使ってパスワードを総当たりする、とAbuse.chサービスの保守者は述べています。
「Shadowserver(ボットネットの追跡を専門とするセキュリティ組織)のスタッフと話し合ったところ、FTP証明書をブルートフォースで破るという同じ方法を利用していることが報告されました。
WordPressやその他の一般的なコンテンツ管理システムなど、一般的なウェブサイトに対するブルートフォースパスワードクラッキング攻撃は多岐にわたりますが、通常は不正なサーバーにホストされたPythonまたはPerlスクリプトを利用していると研究者は指摘しています。そして、この新しいタイプのマルウェアの脅威により、サイバー犯罪者は多数のデバイスやPOP3サーバー、FTPサーバーを指す攻撃メカニズムを作り上げた、と同氏は結論付けています。
