Lucifer: malware diabólico que abusa de vulnerabilidades críticas en máquinas con Home windows


Una nueva variante del poderoso criptojacking y malware basado en DDoS está explotando vulnerabilidades severas para infectar máquinas Home windows.

Apodado Lucifer, el malware es parte de una campaña activa contra los hosts de Windows y utiliza una variedad de exploits armados en la última ola de ataques, dijo el miércoles la Unidad 42 de Palo Alto Networks.

El operador de malware nombró a su creación Satan DDoS, pero como Satan Ransomware ya existe en otros lugares, Palo Alto eligió asignar un alias diferente.

En una entrada de siteLos investigadores Ken Hsu, Durgesh Sangvikar, Zhibin Zhang y Chris Navarrete dijeron que la última variante de Lucifer, v.2, fue descubierta el 29 de mayo mientras investigaba la hazaña de CVE-2019-9081, un mistake de deserialización en Laravel Framework que se puede abusar para realizar ataques de ejecución remota de código (RCE).

Tras un examen más detallado, parece que esta es solo una vulnerabilidad de muchas que utiliza el malware, junto con las vulnerabilidades CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, ThinkPHP RCE (CVE-2018-20062), CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, CVE-2017-0144, CVE-2017-0145 y CVE-2017-8464, entre otros, dependiendo de si la versión uno o dos de Lucifer es en juego.

Los parches están disponibles para todos los defectos de seguridad armados, pero en los hosts que no se han actualizado, los ataques que utilizan estos problemas a menudo son triviales para explotar y la ejecución de código con el propósito de la minería de criptomonedas es uno de los objetivos finales.

Lucifer se considera un poderoso malware híbrido capaz de criptojackear y aprovechar máquinas infectadas para realizar ataques de denegación de servicio distribuido (DDoS).

El malware buscará los puertos TCP abiertos 135 (RPC) y 1433 (MSSQL) para encontrar objetivos y utilizará ataques de relleno de credenciales para obtener acceso. El malware puede infectar a sus objetivos a través de IPC, WMI, SMB y FTP a través de ataques de fuerza bruta, así como a través de MSSQL, RPC y el intercambio de redes, dicen los investigadores.

Una vez establecido en una máquina infectada, el malware elimina XMRig, un programa utilizado para minar encubiertamente la criptomoneda Monero (XMR).

CNET: Julian Assange de WikiLeaks acusado de reclutar y conspirar con hackers

Lucifer también se conectará a un servidor de comando y management (C2) para recibir comandos, como lanzar un ataque DDoS, transferir datos robados del sistema y mantener informados a los operadores sobre el estado del minero de criptomonedas Monero.

Para propagarse, Lucifer utiliza una variedad de vulnerabilidades y ataques de fuerza bruta para comprometer cualquier host adicional conectado al punto de infección authentic.

«Los objetivos son los hosts de Home windows tanto en World wide web como en la intranet, dado que el atacante está aprovechando (el) utilidad certutil en la carga útil para la propagación de malware «, señalan los investigadores.

Las puertas traseras EternalBlue, EternalRomance y DoublePulsar se eliminan para establecer la persistencia y el malware también alterará el registro de Home windows para programarse como una tarea al inicio.

TechRepublic: Amazon, Apple, Wells Fargo alimentan el resurgimiento de la contratación de tecnología después del daño económico del coronavirus

Lucifer también intentará evadir la detección o la ingeniería inversa al verificar la presencia de sandboxes o máquinas virtuales. Si se encuentra alguno, el malware ingresa en un «bucle infinito» que detiene las operaciones.

La primera ola de ataque con Lucifer v.1 se detectó el 10 de junio. Un día después, el malware se actualizó a la v.2, que «causó estragos» en las máquinas de destino, dice el equipo, y en el momento de la escritura, los ataques están en curso. .

Ver también: La universidad cierra la crimson para frustrar el esquema de criptojacking de Bitcoin

«Lucifer es un nuevo híbrido de cryptojacking y variante de malware DDoS que aprovecha las vulnerabilidades antiguas para propagarse y realizar actividades maliciosas en las plataformas de Windows», dicen los investigadores. «Se recomienda encarecidamente aplicar las actualizaciones y parches al program afectado».

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia original