I ricercatori statunitensi di Unit 42, il threat intelligence team di Palo Alto Networks, hanno individuato un nuovo malware auto-propagante, soprannominato Lucifer, che colpisce i sistemi Windows con attacchi di cryptojacking e DDoS (distributed denial-of-service). Il criptojacking è la versione dannosa del cryptomining, una minaccia che si nasconde in un computer o dispositivo mobile e utilizza le risorse della macchina, ovviamente senza autorizzazione, per “generare” criptovalute.
Il malware, mai visto prima, opera cercando inizialmente di infettare i PC bombardandoli con exploit nella speranza di approfittare di un elenco “esaustivo” di vulnerabilità non ancora corrette. Tra le vulnerabilità che Lucifer ha preso di mira ci sono:
- Rejetto HTTP File Server (CVE-2014-6287);
- Oracle Weblogic (CVE-2017-10271);
- ThinkPHP RCE (CVE-2018-20062);
- Apache Struts (CVE-2017-9791);
- Laravel framework CVE-2019-9081);
- Microsoft Windows (CVE-2017-0144, CVE-2017-0145, e CVE-2017-8464).
Dopo aver sfruttato con successo queste CVE, l’aggressore si collega al server di comando e controllo (C2) ed esegue comandi arbitrari sul dispositivo vulnerabile. Questi comandi comprendono l’esecuzione di un attacco DoS TCP, UDP o HTTP.
La prima ondata della campagna si è interrotta il 10 giugno 2020, riprendendo poi il giorno successivo, con una versione aggiornata del malware che ha seminato il caos. Il campione è stato individuato il giorno stesso e bloccato dal Next-Generation Firewall di Palo Alto Networks. La campagna malware è ancora in corso e Lucifer è ancora molto pericoloso.
Non solo è più efficace di XMRig per il criptojacking di Monero, ma è anche in grado di operare in modalità di comando e controllo (C2) e di auto-replica effettuando prima la ricerca di porte TCP aperte (porta 1433) o di porte Remote Procedure Call aperte (RPC, porta 135) e poi sfruttando molteplici vulnerabilità e mettendo in atto attacchi brute-force per ottenere credenziali.
Gli obiettivi più colpiti sono gli host di Windows, su Internet e Intranet, in quanto l’attaccante sfrutta l’utility Certutil, integrata in Windows e utilizzata per la gestione dei certificati digitali, per diffondere il malware. Fortunatamente, le patch per queste vulnerabilità sono già disponibili.
Anche se le vulnerabilità sfruttate e le tecniche di attacco non sono nuove, sottolineano ancora una volta quanto sia importante per le aziende mantenere i sistemi aggiornati appena possibile, eliminando le credenziali deboli e stabilendo un livello di difesa adeguato.
https://unit42.paloaltonetworks.com/lucifer-new-cryptojacking-and-ddos-hybrid-malware/