DirtyMoe est le nom d'un nouvel échantillon de malware avec capacités de vermifuge (avec cryptomining comme objectif premier) analysé par les chercheurs d'Avast.
L'analyse révèle que le module de vermifugation cible les anciens, vulnérabilités bien connues, comme bleu éternel et Patate chaude. DirtyMoe est également capable d'effectuer une attaque par dictionnaire à l'aide du protocole distant Service Control Manager (SCMR), WMI, et services MS SQL. Les chercheurs ont également découvert un algorithme qui génère les adresses IP des victimes en fonction de la géolocalisation du module de vermifuge.. Qu'est-ce que cela signifie?
"Un module de ver peut générer et attaquer des centaines de milliers d'adresses IP privées et publiques par jour; de nombreuses victimes sont à risque car de nombreuses machines utilisent encore des systèmes non corrigés ou des mots de passe faibles,» Les chercheurs. Il convient également de noter que le logiciel malveillant utilise une conception modulaire saine, ce qui signifie que de nouveaux modules de vermifugation pourront bientôt être ajoutés pour cibler des vulnérabilités répandues.
Comment le logiciel malveillant DirtyMoe se propage-t-il dans la nature ??
Les chercheurs observent actuellement trois approches principales qui propagent le malware: PurpleFox EK, Ver PurleFox, et les installateurs de télégrammes injectés servent de supports pour diffuser et installer DirtyMoe. Cependant, il est fort probable que le logiciel malveillant utilise également d'autres techniques de distribution.
Le logiciel malveillant utilise les vulnérabilités suivantes comme point d'entrée vers un système:
CVE:2019-9082: ThinkPHP - Plusieurs RCE d'injection PHP
CVE:2019-2725: Oracle Weblogic Server – RCE de désérialisation « AsyncResponseService »
CVE:2019-1458: Élévation des privilèges locaux de WizardOpium
CVE:2018-0147: Vulnérabilité de désérialisation
CVE:2017-0144: Exécution de code à distance EternalBlue SMB (MS17-010)
MS15-076: RCE Autoriser l'élévation de privilège (Escalade des privilèges Windows Hot Potato)
Attaques par dictionnaire sur les serveurs MS SQL, SMB, et instrumentation de gestion Windows (WMI)
Il semble que le malware se répande de plus en plus dans le monde, qui est le résultat de sa stratégie de vermifugation consistant à générer des cibles à l'aide d'un générateur d'adresses IP pseudo-aléatoires. Cette technique rend DirtyMoe plus flexible et efficace. En outre, le malware peut être étendu aux machines cachées derrière NAT (Traduction d'accès au réseau), qui permet son déplacement latéral dans les réseaux locaux.
"Une seule instance de DirtyMoe peut générer et attaquer jusqu'à 6,000 Adresses IP par seconde," le rapport ajouté.
Le nombre d'instances DirtyMoe actives pourrait signifier qu'il pourrait mettre en danger des centaines de milliers de machines par jour. L'émergence de nouvelles vulnérabilités critiques, comme Log4j, fournissent en outre "une formidable et puissante opportunité de mettre en œuvre un nouveau module de vermifugation". C'est pourquoi les chercheurs continueront de surveiller les activités de vermifuge de DirtyMoe, à la recherche de nouveaux modules.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: