Операторы Sathurbot ведут полномасштабную кампанию по распространению трояна через скрытые страницы в торрентах. Вредоносная программа для распространения применяет торренты, а кроме этого соединяет воединыжды зараженные ПК в ботнет. Сеть Sathurbot действует с июня 2016-ого года и насчитывает 20 000 зараженных устройств.
Пользователи, которые переходят на нелегальные интернет-ресурсы, чтобы скачать пиратский фильм либо нужное ПО, добавляют на собственный компьютер вирус.
Как «фильмы», так и «софт», загруженные при помощи этих торрент-файлов, содержат исполняемый файл, расчет сделан на то, чтобы вынудить пользователя запустить его. В свою очередь это является исполнительным файлом, после запуска которого осуществляется загрузка Sathurbot в систему. Дальше троян обращается к управляющему серверу, получает команды и исполняет их в зараженной системе.
После запуска вредоносная программа сообщает жертву о том, что ее машина стала ботом в глобальной web-сети Sathurbot. «Мы наблюдали попытки загрузки и запуска Boaxxe, Kovter и Fleercivet» — предупреждают ученые безопасности ESET. Троян получает от управляющего сервера список из 5000 общеупотребимых слов и использует их в качестве поисковых запросов в Google, Bing и Яндексе, объединяя в фразы случайным образом. Потом вредонос выбирает случайный фрагмент текста длиной 2-4 слова с каждой веб-страницы в результатах поиска и использует его для следующего этапа поисковых запросов. Новые слова используются для 2-го раунда поиска. Малварь узнает, какие из них работают на базе WordPress, обращаясь для этого к адресу имядомена/wp-login.php.
Совсем недавно обнаруженный бэкдор формирует из компьютеров-жертв ботнет, который применяется для взлома учетных записей WordPress. Каждый бот из 20 000 пробует авторизоваться только один раз — это дает возможность избежать блокировки. Через их аккаунты происходит предстоящее распространение вредоносно ПО. Часть компьютеров в составе ботнета участвует в раздаче торрентов, часть — только подбирает учетные данные к WordPress-сайтам.