اخیرا یک تروجان پنهان مشاهده شده که رایانه‌های هدف را در شبکه‌ای رباتی‌ به‌دام می‌اندازد که تلاش می‌کند راه خود را به حساب‌های وردپرس باز کند.

Sathurbot، این تروجان مخفی، از لینک‌های تورنت بعنوان واسطه‌ی تحویل استفاده می‌کند. وبسایت‌های درمعرض خطر تبدیل به میزبانی برای تورنت‌های تقلبی فیلم و نرم‌افزار می‌شود، هنگامی که یک کاربر برای دانلود فیلم یا نرم‌افزار جستجو می‌کند، لینک‌هایی که به این وبسایت‌ها متصلند، بجای تورنت‌های مجاز، به کار گرفته می‌شوند.

به این دلیل که تورنت‌ها خوب پخش می‌شوند، احتمالا مجاز بنظر می‌آیند. به دلیل اینکه تورنت فیلم و نرم‌افزار، حاوی یک فایل اجراییست فایل DLL Sathurbot را بارگذاری می‌کند.

به محض شروع ، بدافزار به هدف اطلاع می‌دهد که دستگاه آنها به یک ربات در شبکه‌ی Sathurbot تبدیل شده است. همچنین Sathurbot کنترل و دستور(C&C) خود را در آغاز کار بازیابی می‌کند. ارتباط با سرور، شامل گزارش وضعیت، بازیابی وظایف، و دریافت لینک‌هایی برای دانلود بدافزارهای دیگر می‌شود.

محققان امنیتی ESET هشدار می‌دهند که: " Sathurbot می‌تواند خود را به روزرسانی کند و فایل اجرایی دیگری را آغاز کند. ما انواع Boaxxe، Kovter و Fleercivet را دیده‌ایم ولی این فهرست کاملی نیست".

بدافزار، نصب موفق خود را به سرور گزارش می‌دهد و همچنین حین انتظار برای وظایف اضافه، مرتبا گزارش ارسال می‌کند.

Sathurbot با مجموعه‌ای حاوی بیش از 5000 کلمه‌ی اصلی می‌آید تا بتواند با تلفیق تصادفی، عبارات دو سه کلمه‌ای بسازد تا از آنها بعنوان رشته‌های پرسیدنی از طریق موتورهای جستجوی محبوب، استفاده کند. سپس قطعه‌ای دو تا چهار کلمه‌ایِ تصادفی را از صفحه‌ی هرکدام از آدرس‌های منتج انتخاب می‌کند، و از آن برای چرخه‌ی بعدیِ جستجو استفاده می‌کند. مجموعه نتایج جستجوی بعدی، اسامی دامنه را بدست می‌دهد.

این تهدید، فقط دامنه‌هایی را انتخاب می‌کند که با استفاده از وردپرس ساخته شده‌اند، اما بنظر می‌رسد که این تهدید، به Drupal، Joomla، PHP-NUKE، phpFox و DedeCMS نیز علاقمند است. بدافزار، دامنه‌های حاصل شده را به C&C می‌فرستد.

سپس ربات، فهرستی از اعتبارات دسترسی به دامنه را (که به این شکل درآمده اند login:password@doamin) دریافت می‌کند که احتمالاتی  برای دسترسی می‌دهند. رباتهای مختلف، از اعتبارات ورودی مختلفی برای یک سایت یکسان استفاده می‌کنند. بعلاوه، برای جلوگیری از قفل شدن، هر ربات فقط یک اطلاعات ورودی(لاگین) را برای هر سایت امتحان می‌کند و به دامنه ی بعدی می‌رود.

ESET فاش کرد: "حین آزمایش ما، فهرست 10هزار احتمال توسط C&C بازگردانده شد". آنها همچنین به این نکته اشاره کردند که رابط برنامه نویسی کاربردی XML-RPC از وردپرس (بخصوص رابط wp.getUsersBlogs ) در این حمله استفاده شد.

این ربات همچنین دارای کتابخانه‌ی یکپارچه شده‌ی libtorrent است و برای تبدیل شدن به یک seeder با استفاده از دانلود یک جفت فایل و تولید تورنت، طراحی شده است. گرچه، ظاهرا همه‌ی ربات‌های موجود در شبکه، تمام این وظایف را انجام نمی‌دهند، چنانکه تعدادی از آنها بعنوان خزنده‌های وب استفاده می‌شوند، بقیه فقط به رابط‌های XML-RPC حمله می‌کنند، و بعضی نیز هردو را انجام می‌دهند. همه‌ی ربات‌ها نیز seeder  نمی‌شوند.

محققان امنیتی توضیح می‌دهند که: " اقدامات مذکور روی /wp-login.php از بسیاری از کاربران، حتی در سایت‌هایی که میزبان وردپرس نیستند، تأثیر مستقیم Sathurbot است. بسیاری از مدیران سایت‌ها چنین اتفاقاتی را مشاهده می‌کنند و تعجب می‌کنند که چرا رخ می‌دهد. بعلاوه، سایت‌های وردپرس می‌توانند پتانسیل حمله را بر wp.getUsersBlogs در لاگ‌هایشان ببینند"

با شمول بیش از 20هزار رایانه‌ی آلوده، گفته می‌شود که Sathurbot از ژوئن 2016 فعال شده است.