Nový ďábelský malware se zaměřuje na systémy Windows s možností šifrování a DDoS.
Odborníci na bezpečnost identifikovali samovolně se rozmnožující malware, nazvaný Lucifer, který se zaměřuje na systémy Windows pomocí kryptojackingu a distributed denial-of-service (DDoS).
Nikdy předtím nevídaný malware se pokouší nakazit PC tím, že je bombarduje exploity v naději, že využijí vyčerpávající seznam neopravených zranitelností. Přestože existují záplaty pro všechny kritické a vysoce závažné chyby, některé společnosti zasažené malwarem dosud neaplikovaly opravy.
„Lucifer je nová hybridní varianta kryptojackingu a DDoS malwaru, která využívá staré zranitelnosti k šíření a provádění škodlivých aktivit na platformách Windows,“ uvedli výzkumníci týmu Palo Alto Networks na blogu. „Důrazně doporučujeme použití aktualizací a oprav na postižený software.“
Mezi zranitelnosti, na které se Lucifer zaměřuje, patří Rejetto HTTP File Server (CVE-2014-6287), Oracle Weblogic (CVE-2017-10271), ThinkPHP RCE (CVE-2018-20062), Apache Struts (CVE-2017-9791), Laravel framework CVE-2019-9081) a Microsoft Windows (CVE-2017-0144, CVE-2017-0145 a CVE-2017-8464).
Po úspěšném použití těchto zranitelností se útočník připojí k příkazovému serveru (C2) a na zranitelném zařízení provede libovolné příkazy. Tyto příkazy zahrnují provedení útoku TCP, UDP nebo HTTP DoS. Jiné příkazy umožňují malwaru nainstalovat miner XMRig a spustit kryptojacking útoky, jakož i shromažďovat informace o rozhraní a odesílat stav minerů do C2.
Malware je také schopen se různými způsoby množit.
Kontroluje buď otevřené instance portu TCP 1433 nebo Remote Procedure Call (RPC) port 135. Pokud je některý z nich otevřený, malware se pokusí přenést přihlášení pomocí výchozího uživatelského jména správce a vloženého seznamu hesel. Po úspěšném ověření pak zkopíruje a spustí malware binární soubor na vzdáleném hostiteli.
Pokud je otevřen Server Message Block (SMB) protokol (protokol sdílení síťových souborů), provede Lucifer několik backdoorů. Patří mezi ně EternalBlue, EternalRomance a DoublePulsar exploity.
Jakmile byly tyto tři exploity použity, je k šíření malwaru použit nástroj certutil. Certutil.exe je program příkazového řádku nainstalovaný jako součást Certifikační služby, který lze použít k výpisu a zobrazení informací o konfiguraci certifikační autority (CA), konfiguraci Certifikační služby, zálohování a obnovení CA komponent a ověření certifikátů.
Lucifer byl objeven v řadě nedávných útoků, které stále probíhají. První vlna nastala 10. června. Útočníci poté pokračovali ve své kampani 11. června aktualizovanou verzí malwaru. Vědci tvrdí, že tyto aktualizace zahrnují přidání anti-sandbox schopnosti, anti-debugger techniku a nové kontroly ovladačů zařízení, DLL a virtuálních zařízení.
Výzkumníci varují, že tyto přidané funkce ukazují, že malware roste v sofistikovanosti. Říká se, že podniky se mohou chránit pouhými bezpečnostními opatřeními, jako je použití oprav a posílení hesel.
„I když zneužívané zranitelnosti a taktiky útoků využívané tímto malwarem nejsou ničím originálním, znovu doručují zprávu všem organizacím a připomínají jim, proč je naprosto důležité udržovat systémy aktuální, kdykoli je to možné, odstranit slabá pověření a mít vrstvu obrany pro ujištění,“ zdůraznili vědci.
Zdroj: threatpost.com
