Lucifer, un malware híbrido que ataca a sistemas Windows.
El malware infecta a los PCs bombardeándolos con exploits con la esperanza de aprovechar vulnerabilidades sin parchear. Una vez dentro puede desarrollar ataques DDoS, descargar un minero XMRig y lanzar ataques de criptojacking. También tiene la capacidad de autopropagarse.
Los expertos en seguridad han identificado un malware denominado Lucifer que apunta a los sistemas Windows con criptojacking y ataques de denegación de servicio distribuido (DDoS). El malware, nunca visto antes, inicialmente intenta infectar los PCs bombardeándolos con exploits con la esperanza de aprovechar una lista "exhaustiva" de vulnerabilidades sin parchear. Si bien existen parches para todos los fallos, las compañías afectadas por el malware no los han descargado.
"Lucifer es una nueva variante de malware híbrido de cryptojacking y DDoS que aprovecha las vulnerabilidades antiguas para propagarse y realizar actividades maliciosas en plataformas Windows", señalan los investigadores en el equipo Unit 42 de Palo Alto Networks. "Se recomienda encarecidamente aplicar las actualizaciones y parches al software afectado".
Las vulnerabilidades atacadas por Lucifer incluyen Rejetto HTTP File Server (CVE-2014-6287), Oracle Weblogic (CVE-2017-10271), ThinkPHP RCE (CVE-2018-20062), Apache Struts (CVE-2017-9791), Laravel (CVE-2019-9081) y Microsoft Windows (CVE-2017-0144, CVE-2017-0145 y CVE-2017-8464).
Después de explotar con éxito estas vulnerabilidades, el atacante se conecta al servidor de comando y control (C2) y ejecuta comandos arbitrarios en el dispositivo vulnerable, explican los investigadores. Estos comandos incluyen realizar un ataque HTTP DoS, TCP o UDP. Otros comandos permiten que el malware descargue un minero XMRig e inicie ataques de criptojacking, además de recopilar información de la interfaz y enviar el estado del minero al C2.
El malware también es capaz de autopropagarse a través de varios métodos. Busca puertos TCP o puertos de Remote Procedure Call (RPC), y si alguno de estos puertos está abierto, el malware intenta forzar el inicio de sesión mediante un nombre de usuario de administrador predeterminado y una lista de contraseñas incrustadas. Luego copia y ejecuta el binario de malware en el host remoto después de una autenticación exitosa.
Además de las credenciales de fuerza bruta, el malware aprovecha la explotación para la autopropagación. Si el protocolo Server Message Block (SMB) (un protocolo de red para compartir archivos) está abierto, Lucifer ejecuta varias puertas traseras, que incluyen los exploits EternalBlue, EternalRomance y DoublePulsar.
Lucifer ha sido descubierto en una serie de ataques recientes que aún están en curso. La primera ola de ataques ocurrió el 10 de junio. Los atacantes reanudaron su campaña el 11 de junio con una versión actualizada del malware. Los investigadores dicen que estas actualizaciones incluyen la incorporación de una capacidad anti-sandbox, una técnica anti-depurador y nuevas comprobaciones de controladores de dispositivos, DLL y dispositivos virtuales. Estas capacidades adicionales muestran que el malware está creciendo en sofisticación, advierten los investigadores.
La nota en ITDigitalsecurity