De acordo com pesquisadores de segurança da AlienVault, o novo malware MassMiner está infectado servidores Web para minerar a criptomoeda Monero.
Um detalhe sobre o malware é que ele explora três vulnerabilidades para infectar os servidores. Ele utiliza exploits para as vulnerabilidades CVE-2017-10271 (Oracle WebLogic), CVE-2017-0143 (Windows SMB) e CVE-2017-5638 (Apache Struts).
Malware MassMiner
Os desenvolvedores do malware MassMiner souberam escolher bem quais exploits usar com ele. Todos são bem conhecidos e eficientes.
A vulnerabilidade CVE-2017-10271 vem sendo explorada ativamente desde o ano passado, com um grupo conseguindo um lucro de US$ 226.000 em criptomoedas obtidas com scripts instalados em hosts vulneráveis. Esta vulnerabilidade ainda é uma das mais visadas em servidores até hoje.
A CVE-2017-0143 é a mais famosa das três vulnerabilidades por causa do exploit conhecido pelo nome EternalBlue. O EternalBlue foi desenvolvido pela NSA, a agência de segurança nacional dos Estados Unidos, e divulgado publicamente pelo grupo de hackers conhecido como The Shadow Brokers.
Este exploit foi utilizado em uma grande variedade de ataques, incluindo os dos ransomwares WannaCry e NotPetya, em 2017.
No caso do malware MassMiner, a AlienVault disse que os hackers usaram o exploit EternalBlue para instalar o backdoor nos servidores vulneráveis. É importante destacar que a vulnerabilidade explorada pelo exploit EternalBlue já foi corrigida pela Microsoft meses atrás.
Por último, a vulnerabilidade CVE-2017-5638 é a mesma explorada no ataque à empresa norte-americana Equifax no ano passado.
Além destas três vulnerabilidades, os criminosos também utilizam a ferramenta SQLck para ataques baseados na técnica “brute force” contra bancos de dados do SQL Server. Se eles forem comprometidos, os atacantes podem utilizá-los como um ponto intermediário para o lançamento de scripts e assim instalar o minerador de criptomoedas.
Mais detalhes técnicos sobre o malware estão disponíveis no post publicado aqui pela AlienVault.
O post Novo malware MassMiner infecta servidores para minerar criptomoedas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br