Los investigadores de seguridad descubrieron recientemente Gitpaste-12, un nuevo gusano que usa GitHub y Pastebin para mantener el código del componente. El nuevo malware tiene 12 diferentes módulos de ataque disponibles, dice la empresa de seguridad Juniper.
Gusano Gitpaste-12 dirigido a servidores x86 basados en Linux
El gusano Gitpaste-12 se hizo evidente para los investigadores en octubre, con nuevos ataques registrados en noviembre. Los ataques iniciales estaban dirigidos a servidores x86 basados en Linux., así como dispositivos IoT basados en Linux ARM y MIPS.
Los investigadores llamaron al malware Gitpaste-12 porque usa GitHub, Pastebin, y 12 métodos para comprometer un sistema específico. Los investigadores informaron tanto la URL de Pastebin como el repositorio de git utilizados en los ataques después de su descubrimiento.. El repositorio de git se cerró posteriormente en octubre 30, 2020.
La segunda ola de ataques comenzó en noviembre. 10, y Juniper dice que estaba usando cargas útiles de otro repositorio de GitHub. El repositorio contenía un error de minería criptográfica de Linux., un archivo con contraseñas para ataques de fuerza bruta, y un exploit de escalada de privilegios local para sistemas x86_64.
La infección inicial se produce a través de X10-Unix, un binario escrito en el lenguaje de programación Go, que descarga las cargas útiles de la siguiente etapa de GitHub.
¿A qué tipo de dispositivos apunta Gitpaste-12??
aplicaciones web, Las cámaras IP, y los enrutadores son los principales objetivos del gusano en "una amplia serie de ataques". Los ataques utilizan al menos 31 vulnerabilidades conocidas, siete de los cuales se vieron en la muestra de malware anterior. El gusano también intenta comprometer las conexiones de Android Debug Bridge, y puertas traseras de malware existentes, dice el investigador de Juniper Asher Langton.
Es de destacar que la mayoría de los exploits que utiliza el gusano son nuevos., con divulgaciones públicas y códigos de prueba de concepto con fecha tan reciente como septiembre. Las instancias recientes de Gitpaste-12 están tratando de lograr estos tres pasos:
1. Instalar el software de criptominería Monero.
2. Instale la versión adecuada del gusano X10-unix.
3. Abra una puerta trasera escuchando en los puertos 30004 y 30006 y cargue la dirección IP de la víctima en una pasta Pastebin privada.
Una lista de todos los exploits abusados en los ataques y más detalles técnicos están disponibles en Informe de Juniper.
En octubre, los investigadores de seguridad descubrieron otro previamente malware desconocido llamado Ttint, categorizado como un troyano específico de IoT. Los atacantes estaban utilizando dos vulnerabilidades de día cero para comprometer los dispositivos objetivo., CVE-2018-14558 y CVE-2020-10987. De las muestras capturadas, parece que el malware se basó en el código Mirai.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: