目前已經(jīng)出現(xiàn)一類惡意軟件，旨在利用暴力密碼破解攻擊突破WordPress及Joomla等利用高人氣內(nèi)容管理系統(tǒng)的網(wǎng)站，同時也開始將矛頭指向電子郵件及FTP服務(wù)器。

這款惡意軟件名為Fort Disco，目前感染的Windows計算機(jī)估計超過25000臺——對WordPress、Joomla以及Datalife Engine網(wǎng)站管理員賬戶密碼的影響范圍也達(dá)到6000個以上。

一旦計算機(jī)受到感染，該惡意軟件會定期連接到命令與控制(簡稱C&C)服務(wù)器進(jìn)行指令檢索，其中通常包含數(shù)千網(wǎng)站及密碼列表、時刻嘗試訪問其管理員賬戶。

Fort Disco惡意軟件似乎正處于不斷變化當(dāng)中，一直在打理Abuse.ch僵尸網(wǎng)絡(luò)追蹤服務(wù)的瑞士安全研究員表示。“深入剖析之后，我發(fā)現(xiàn)了這種特定惡意軟件的一份樣本，其目的在于以暴力方式攻擊POP3而非WordPress證書，”他在本周一的博文中指出。

Post Office Protocol version 3(簡稱POP3)允許電子郵件客戶端與郵件服務(wù)器連接并檢索來自現(xiàn)有賬戶中的信息。

這種特殊Fort Disco變種所采用的C&C服務(wù)器會根據(jù)自己的對應(yīng)MX記錄(郵件交換記錄)回復(fù)域名列表。這項(xiàng)MX記錄詳細(xì)列舉了哪些服務(wù)器處理特定域中電子郵件服務(wù)。

C&C服務(wù)器還提供了一套標(biāo)準(zhǔn)化電子郵件賬戶列表——通常是管理員、信息及支持賬戶——惡意軟件借此對密碼進(jìn)行暴力破解，Abuse.ch服務(wù)的維護(hù)人員表示。

“我們與Shadowserver(一個專門追蹤僵尸網(wǎng)絡(luò)的安全組織)的工作人員進(jìn)行了探討，他們報告稱它利用的是同樣的方式對FTP證書進(jìn)行暴力破解，”他解釋稱。

針對WordPress及其它流行內(nèi)容管理系統(tǒng)等常見網(wǎng)站的暴力密碼破解攻擊多種多樣，但它們通常利用的是托管在流氓服務(wù)器上的Python或Perl腳本，研究人員指出。而在這種新型惡意軟件的威脅下，網(wǎng)絡(luò)犯罪分子創(chuàng)造了一種指向大量設(shè)備及POP3與FTP服務(wù)器的攻擊機(jī)制，他總結(jié)稱。