Conjunto de malware Lucifer autopropagable contra computadoras Windows

Se ha descubierto que un malware avanzado de Microsoft Windows llamado Lucifer infecta las computadoras objetivo usando un conjunto de características muy sofisticado. Se ha detectado en una campaña de ataque activo que presenta nuevas técnicas de infección por “bombardeo” hosts de computadora con muchas vulnerabilidades de vulnerabilidad hasta que se detecte una debilidad. Una de las características distintivas del malware Lucifer es que contiene un mecanismo de autopropagación..

Lucifer Malware presenta un mecanismo de infección avanzado

La comunidad de seguridad ha informado sobre un nuevo y peligroso malware de Microsoft Windows que se llama Lucifer. Se realizó un análisis de seguridad de las muestras capturadas que indica que se trata de una nueva amenaza y la primera versión que se envía en un ataque en vivo..

El mecanismo de ataque implica el seguimiento de una prueba estándar de intrusiones múltiples contra los servicios de destino. Los hackers han configurado la infraestructura de implementación para lanzar una gran cantidad de exploits en servicios abiertos que se encuentran en las redes de computadoras. Si se encuentra una coincidencia, la vulnerabilidad se explotará en función de la regla de configuración que establece que el objetivo es instalar el malware Lucifer.

En gran medida, esto significa que los ataques se llevan a cabo de forma automática.. Dado el hecho de que el malware Lucifer incluye muchas funciones avanzadas y no se basa en ninguna de las amenazas existentes. Esto significa que el grupo criminal probablemente tenga mucha experiencia, por el momento se desconoce su identidad. Las muestras capturadas indican que las siguientes vulnerabilidades están dirigidas:

• CVE-2014-6287 — La función findMacroMarker en parserLib.pas en Rejetto HTTP File Server (aks HFS o HttpFileServer) 2.3x antes de 2.3c permite a los atacantes remotos ejecutar programas arbitrarios a través de un %00 secuencia en una acción de búsqueda.
• CVE-2017-10271 — Una vulnerabilidad en el componente Oracle WebLogic Server de Oracle Fusion Middleware (subcomponente: Seguridad WLS). Las versiones compatibles que son afectados son 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 y 12.2.1.2.0. Fácilmente explotable vulnerabilidad permite que un intruso no autenticado con acceso a la red a través de T3 a comprometer Oracle WebLogic Server. ataques con éxito de esta vulnerabilidad puede resultar en la adquisición de Oracle WebLogic Server. CVSS 3.0 Puntuación Base 7.5 (impactos sobre la disponibilidad). vector CVSS: (CVSS:3.0/DE:N / AC:L / PR:N / UI:N / S:T / C:N / I:N/A:H).
• CVE-2018 a 20062 — Un problema fue descubierto en NoneCms V1.3. ThinkPHP / biblioteca / pensar / app.php permite a atacantes remotos ejecutar código PHP de su elección mediante el uso artesanal del parámetro de filtro, como lo demuestra el índice de s = / pensar Solicitud / entrada&filter = phpinfo&cadena de datos de consulta = 1.
• CVE-2017-9791 — Los puntales 1 El complemento en Apache Struts 2.1.xy 2.3.x podría permitir la ejecución remota de código a través de un valor de campo malicioso pasado en un mensaje sin formato al ActionMessage.
• CVE-2019-9081 — El componente Illuminate de Laravel Framework 5.7.x tiene una vulnerabilidad de deserialización que puede conducir a la ejecución remota de código si el contenido es controlable, relacionado con el método __destruct de la clase PendingCommand en PendingCommand.php.
• Estudio PHPS – Ejecución de código remoto de puerta trasera — Este módulo Metasploit puede detectar y explotar la puerta trasera de PHPStudy.
• CVE-2017-0144 — El servidor SMBv1 en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Ventanas 7 SP1; Ventanas 8.1; Windows Server 2012 Oro y R2; Windows RT 8.1; y Windows 10 Oro, 1511, y 1607; y Windows Server 2016 permite a los atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, aka “Vulnerabilidad de ejecución remota de código en Windows SMB.” Esta vulnerabilidad es diferente de las descritas en CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, y CVE-2017-0148.
• CVE-2017-0145 — El servidor SMBv1 en Microsoft Windows Vista SP2; Windows Server 2008 SP2 y R2 SP1; Ventanas 7 SP1; Ventanas 8.1; Windows Server 2012 Oro y R2; Windows RT 8.1; y Windows 10 Oro, 1511, y 1607; y Windows Server 2016 permite a los atacantes remotos ejecutar código arbitrario a través de paquetes diseñados, aka “Vulnerabilidad de ejecución remota de código en Windows SMB.” Esta vulnerabilidad es diferente de las descritas en CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, y CVE-2017-0148.
• CVE-2017-8464 — Shell de Windows en Microsoft Windows Server 2008 SP2 y R2 SP1, Ventanas 7 SP1, Ventanas 8, Ventanas 8.1, Windows Server 2012 Oro y R2, Windows RT 8.1, Ventanas 10 Oro, 1511, 1607, 1703, y Windows Server 2016 permite a los usuarios locales o atacantes remotos ejecutar código arbitrario a través de un archivo .LNK diseñado, que no se maneja correctamente durante la visualización de iconos en el Explorador de Windows o cualquier otra aplicación que analiza el icono del acceso directo. aka “Vulnerabilidad de ejecución remota de código de LNK.”

Todas estas vulnerabilidades enumeradas se clasifican como crítico o alto por su impacto en las máquinas alojadas. El malware Lucifer incluye una sofisticada función de criptojacking en el criptomoneda moneda, Hasta la fecha, las víctimas han pagado un total de 0.493527 DVDRip lo que equivale a aproximadamente $32 Dólar estadounidense.

Lucifer Malware tiene un módulo avanzado de malware

Se ha encontrado que el malware Lucifer se distribuye en dos versiones distintas — diferenciado por los expertos en seguridad como Versión 1 y Versión 2. Lo común entre ellos es que al lanzar iniciarán un conexión de Troya a un servidor controlado por piratas informáticos que permitirá a los controladores tomar el control de los sistemas de las víctimas. Esto permitirá que los controladores criminales tengan prácticamente acceso a todos los archivos almacenados dentro del sistema.. La dirección real se decodificará solo cuando sea necesario ejecutar este paso. Esto protege contra las detecciones de firmas comunes que son parte de la mayoría del software de seguridad..

Los siguientes pasos que forman parte del motor incluyen cambios en el registro de Windows — conducirán a una instalación persistente de la amenaza. El motor de malware creará cadenas para sí mismo en el Registro que conducirá a un inicio automático cuando la computadora esté encendida.

Como parte de la secuencia de malware incluida, el malware instalará un sistema peligroso La minera criptomoneda que realizará las tareas típicas asociadas con este tipo de virus. Los mineros son scripts específicos que pueden ejecutarse mediante procesos individuales o desde ventanas del navegador web. Su objetivo es descargar y recuperar una secuencia de tareas intensivas en rendimiento. Los componentes de hardware más importantes se verán afectados, incluida la CPU, espacio en disco duro, memoria, velocidad de la red y la tarjeta gráfica. Por cada tarea completada e informada, los piratas informáticos recibirán activos de criptomonedas como recompensa.

Una de las tareas principales que se ejecutará es llevar a cabo un omitir la seguridad de — esto buscará procesos que se identifiquen como software de seguridad y los detendrá. La lista de aplicaciones actuales que se ven afectadas incluye las siguientes:

Avira, NOMBRE DE LA COMPUTADORA, CWSX, VBOX, cuco, nmsdbox, salvadera, wilbert-sc, xxxx - buey, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtual, xpamast-sc y cuckoosandbox

Malware Lucifer también tiene la capacidad de llevar a cabo ataques de denegación de servicio que pueden ser controlados por los piratas informáticos para llevar a cabo procedimientos de sabotaje.

La tarea programada También se instituirá, que es parte de la general cambios en el sistema opciones. Ambas versiones incluyen capacidades avanzadas que incluyen las siguientes opciones:

• Borrado de los registros de eventos registrados por el sistema operativo.
• Recopilar información de la interfaz de red y enviar el estado actual del cryptominer
• Proceso de matar
• Inicialización de parámetros personalizados relacionados con la criptomoneda o la eliminación de los procesos en ejecución
• Mayor infección utilizando un método de fuerza bruta que está destinado a explotar otros dispositivos accesibles en la red
• Guardar la configuración en un archivo TEXT preestablecido
• Realización de un ataque DoS TCP / UDP / HTTP
• Reactivar el ataque DoS
• Descarga y ejecución de un archivo desde un servidor de comando y control
• Ejecución del comando remoto desde el servidor controlado por piratas informáticos
• Deshabilitar la función de informe de estado del minero
• Habilitar la función de informe de estado del minero
• Cambios en el valor del Registro de Windows
• Restablecimiento del conjunto actual y finalización del proceso minero de criptomonedas

Aconsejamos a todos los usuarios que actualicen su software de servicio y su aplicación de productividad para reparar las vulnerabilidades..

Martin Beltov

Martin se graduó con un título en Edición de la Universidad de Sofía. Como un entusiasta de la seguridad cibernética que le gusta escribir sobre las últimas amenazas y mecanismos de intrusión.

Más Mensajes

Sígueme: