DirtyMoe è il nome di un nuovo campione di malware con capacità di sverminazione (con cryptomining come scopo primario) analizzato dai ricercatori Avast.
L'analisi rivela che il modulo worming prende di mira i più vecchi, vulnerabilità note, come blu Eternal e Patata bollente. DirtyMoe è anche in grado di eseguire un attacco dizionario utilizzando il protocollo remoto di Service Control Manager (SCMR), WMI, e servizi MS SQL. I ricercatori hanno anche scoperto un algoritmo che genera gli indirizzi IP delle vittime in base alla geolocalizzazione del modulo worming. Che cosa significa questo?
“Un modulo worm può generare e attaccare centinaia di migliaia di indirizzi IP pubblici e privati al giorno; molte vittime sono a rischio poiché molte macchine utilizzano ancora sistemi senza patch o password deboli,”I ricercatori hanno detto. Va anche notato che il malware utilizza un sano design modulare, il che significa che presto potranno essere aggiunti nuovi moduli di worming che prendono di mira vulnerabilità diffuse.
Come viene propagato il malware DirtyMoe in natura?
I ricercatori stanno attualmente osservando tre approcci principali che diffondono il malware: PurpleFox EK, Verme PurleFox, e gli installatori di Telegram iniettati servono come mezzo per diffondere e installare DirtyMoe. Tuttavia, è molto probabile che il malware utilizzi anche altre tecniche di distribuzione.
Il malware utilizza le seguenti vulnerabilità come punto di accesso a un sistema:
CVE:2019-9082: ThinkPHP - Più RCE di iniezione di PHP
CVE:2019-2725: Oracle Weblogic Server – Deserializzazione RCE 'AsyncResponseService'
CVE:2019-1458: Escalation dei privilegi locali di WizardOpium
CVE:2018-0147: Vulnerabilità alla deserializzazione
CVE:2017-0144: EternalBlue SMB esecuzione del codice remoto (MS17-010)
MS15-076: RCE Consenti elevazione del privilegio (Escalation dei privilegi di Windows Hot Potato)
Attacchi del dizionario ai server MS SQL, SMB, e Strumentazione di gestione Windows (WMI)
Sembra che il malware si stia diffondendo sempre più a livello globale, che è il risultato della sua strategia di worming di generare bersagli utilizzando un generatore di IP pseudo-casuale. Questa tecnica rende DirtyMoe più flessibile ed efficiente. Inoltre, il malware può essere esteso a macchine nascoste dietro NAT (Traduzione di accesso alla rete), che ne consente il movimento laterale nelle reti locali.
“Una singola istanza di DirtyMoe può generare e attaccare fino a 6,000 Indirizzi IP al secondo," il rapporto ha aggiunto.
La quantità di istanze DirtyMoe attive potrebbe significare che potrebbe mettere in pericolo centinaia di migliaia di macchine al giorno. L'emergere di nuove vulnerabilità critiche, come Log4j, fornire inoltre "un'opportunità straordinaria e potente per implementare un nuovo modulo worming". Ecco perché i ricercatori continueranno a monitorare le attività di sverminazione di DirtyMoe, alla ricerca di nuovi moduli.