DirtyMoe es el nombre de una nueva muestra de malware con capacidades de desparasitación (con cryptomining como propósito principal) analizado por los investigadores de Avast.
El análisis revela que el módulo de desparasitación apunta a personas mayores, vulnerabilidades conocidas, tal como azul eterna y Patata caliente. DirtyMoe también es capaz de realizar un ataque de diccionario utilizando el Protocolo remoto de Service Control Manager. (SCMR), WMI, y servicios MS SQL. Los investigadores también descubrieron un algoritmo que genera direcciones IP de víctimas en función de la ubicación geográfica del módulo de gusanos.. ¿Qué significa este?
“Un módulo de gusano puede generar y atacar cientos de miles de direcciones IP públicas y privadas por día; muchas víctimas están en riesgo ya que muchas máquinas todavía usan sistemas sin parches o contraseñas débiles,”Dijeron los investigadores. También se debe tener en cuenta que el malware utiliza un diseño modular saludable, lo que significa que pronto se pueden agregar nuevos módulos de gusanos que apuntan a vulnerabilidades generalizadas.
¿Cómo se propaga el malware DirtyMoe en la naturaleza??
Los investigadores están observando actualmente tres enfoques principales que propagan el malware.: Zorro Púrpura EK, Gusano PurleFox, y los instaladores de Telegram inyectados sirven como medios para difundir e instalar DirtyMoe. Sin embargo, es muy probable que el malware utilice también otras técnicas de distribución.
El malware utiliza las siguientes vulnerabilidades como punto de entrada a un sistema:
CVE:2019-9082: ThinkPHP – Múltiples RCE de inyección de PHP
CVE:2019-2725: Oracle Weblogic Server: RCE de deserialización 'AsyncResponseService'
CVE:2019-1458: Escalada de privilegios locales de WizardOpium
CVE:2018-0147: Vulnerabilidad de deserialización
CVE:2017-0144: Ejecución remota de código EternalBlue SMB (MS17-010)
MS15-076: RCE Permitir elevación de privilegios (Escalada de privilegios de Hot Potato Windows)
Ataques de diccionario a servidores MS SQL, SMB, e instrumentación de administración de Windows (WMI)
Parece que el malware se está extendiendo más a nivel mundial., que es el resultado de su estrategia de gusanos de generar objetivos utilizando un generador de IP pseudoaleatorio. Esta técnica hace que DirtyMoe sea más flexible y eficiente. Por otra parte, el malware se puede expandir a máquinas ocultas detrás de NAT (Traducción de acceso a la red), que permite su movimiento lateral en redes locales.
“Una sola instancia de DirtyMoe puede generar y atacar hasta 6,000 Direcciones IP por segundo," el informe agregado.
La cantidad de instancias activas de DirtyMoe podría significar que podría poner en peligro a cientos de miles de máquinas por día.. La aparición de nuevas vulnerabilidades críticas, como Log4j, Además, brindan "una tremenda y poderosa oportunidad para implementar un nuevo módulo de desparasitación". Es por eso que los investigadores continuarán monitoreando las actividades de desparasitación de DirtyMoe., buscando nuevos modulos.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: