Casa > Cyber ​​Notizie > Malware Lucifer autopropagante impostato su computer Windows
CYBER NEWS

Lucifer auto-propagante di malware impostato contro i computer Windows

È stato scoperto che un malware avanzato di Microsoft Windows chiamato Lucifer infetta i computer di destinazione utilizzando un set di funzionalità molto sofisticato. È stato rilevato in una campagna di attacco attivo che presenta nuove tecniche di infezione da parte di “bombardamento” host di computer con molti exploit di vulnerabilità fino a quando non viene rilevata una debolezza. Una delle caratteristiche distinte del malware Lucifer è che contiene un meccanismo di auto-propagazione.




Il malware Lucifer presenta un meccanismo di infezione avanzato

La comunità della sicurezza ha segnalato un nuovo pericoloso malware Microsoft Windows che viene chiamato Lucifero. È stata fatta un'analisi di sicurezza dei campioni catturati che indica che si tratta di una nuova minaccia e la prima versione di essa viene inviata in un attacco dal vivo.

Il meccanismo di attacco comporta il seguito di un test di intrusioni multiple standard su servizi di destinazione. Gli hacker hanno configurato l'infrastruttura di distribuzione per lanciare un numero molto elevato di exploit in servizi aperti trovati sulle reti di computer. Se viene rilevata una corrispondenza, la vulnerabilità verrà sfruttata in base alla regola di configurazione che stabilisce che l'obiettivo è installare il malware Lucifer.

In larga misura ciò significa che gli attacchi vengono eseguiti in modo automatico. Dato che il malware Lucifer include molte funzionalità avanzate e non si basa su nessuna delle minacce esistenti. Ciò significa che il gruppo criminale è probabilmente molto esperto, al momento la loro identità non è nota. I campioni acquisiti indicano che sono state prese di mira le seguenti vulnerabilità:

  • CVE-2014-6287 — La funzione findMacroMarker in parserLib.pas nel Rejetto HTTP File Server (aks HFS o HttpFileServer) 2.3x prima della 2.3c consente agli attaccanti remoti di eseguire programmi arbitrari tramite a %00 sequenza in un'azione di ricerca.
  • CVE-2.017-10.271 — Una vulnerabilità nel componente di Oracle WebLogic Server di Oracle Fusion Middleware (sottocomponente: WLS Sicurezza). Le versioni supportate che vengono colpiti sono 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. Facilmente vulnerabilità sfruttabili permette malintenzionato non autenticato con accesso alla rete tramite T3 compromettere Oracle WebLogic Server. attacchi di successo di questa vulnerabilità può causare acquisizione di Oracle WebLogic Server. CVSS 3.0 Punteggio Base 7.5 (Disponibilità impatti). Vector CVSS: (CVSS:3.0/DI:N / AC:L/PR:N / UI:N / S:U / C:N / I:N / A:H).
  • CVE-2.018-20.062 — Un problema è stato scoperto nel NoneCms V1.3. ThinkPHP / library / pensare / app.php permette attaccanti remoti di eseguire codice PHP arbitrario tramite uso artigianale del parametro di filtro, come dimostra la s = indice di / pensare Richiesta / ingresso&filtrare = phpinfo&stringa di dati = 1 interrogazione.
  • CVE-2017-9791 — The Struts 1 il plugin in Apache Struts 2.1.xe 2.3.x potrebbe consentire l'esecuzione di codice in modalità remota tramite un valore di campo dannoso passato in un messaggio non elaborato ad ActionMessage.
  • CVE-2019-9081 — Il componente Illuminate di Laravel Framework 5.7.x presenta una vulnerabilità di deserializzazione che può portare all'esecuzione di codice in modalità remota se il contenuto è controllabile, correlato al metodo __destruct della classe PendingCommand in PendingCommand.php.
  • PHPStudy – Esecuzione di codice remoto backdoor — Questo modulo Metasploit è in grado di rilevare e sfruttare la backdoor di PHPStudy.
  • CVE-2017-0144 — Il server SMBv1 in Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Oro e R2; RT di Windows 8.1; e Windows 10 Oro, 1511, e 1607; e Windows Server 2016 consente agli aggressori remoti di eseguire codice arbitrario tramite pacchetti predisposti, aka “Vulnerabilità legata all'esecuzione di codice in modalità remota SMB di Windows.” Questa vulnerabilità è diversa da quelle descritte in CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, e CVE-2017-0148.
  • CVE-2017-0145 — Il server SMBv1 in Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; Windows 7 SP1; Windows 8.1; Windows Server 2012 Oro e R2; RT di Windows 8.1; e Windows 10 Oro, 1511, e 1607; e Windows Server 2016 consente agli aggressori remoti di eseguire codice arbitrario tramite pacchetti predisposti, aka “Vulnerabilità legata all'esecuzione di codice in modalità remota SMB di Windows.” Questa vulnerabilità è diversa da quelle descritte in CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, e CVE-2017-0148.
  • CVE-2017-8464 — Shell di Windows in Microsoft Windows Server 2008 SP2 e R2 SP1, Windows 7 SP1, Windows 8, Windows 8.1, Windows Server 2012 Oro e R2, RT di Windows 8.1, Windows 10 Oro, 1511, 1607, 1703, e Windows Server 2016 consente agli utenti locali o agli aggressori remoti di eseguire codice arbitrario tramite un file .LNK predisposto, che non viene gestito correttamente durante la visualizzazione delle icone in Esplora risorse o in qualsiasi altra applicazione che analizza l'icona del collegamento. aka “Vulnerabilità legata all'esecuzione di codice in modalità remota LNK.”

Tutte queste vulnerabilità elencate sono classificate come entrambe critico o alto a causa del loro impatto sulle macchine ospitate. Il malware Lucifer include una sofisticata funzionalità di crittografia nel criptovaluta valuta, a questa data le vittime hanno pagato un totale di 0.493527 DVDRip che equivale a circa $32 Dollaro statunitense.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/magnitude-ek-cve-2019-1367-ransomware/”]Magnitude EK ora utilizza CVE-2019-1367 per eliminare Ransomware

Il malware Lucifer ha un modulo malware avanzato

Il malware Lucifer è stato trovato per essere distribuito in due versioni distinte — differenziati dagli esperti di sicurezza come entrambi Versione 1 e Versione 2. Il comune tra loro è che al lancio avvieranno a collegamento Trojan a un server controllato dagli hacker che consentirà ai controller di assumere il controllo dei sistemi delle vittime. Ciò consentirà ai controllori criminali di avere praticamente accesso a tutti i file memorizzati all'interno del sistema. L'indirizzo effettivo verrà decodificato solo quando è necessario eseguire questo passaggio. Ciò protegge dai rilevamenti di firme comuni che fanno parte della maggior parte dei software di sicurezza.

I passi successivi che fanno parte del motore includono modifiche al Registro di sistema di Windows — porteranno a un'installazione persistente della minaccia. Il motore malware creerà stringhe per sé nel Registro di sistema, il che porterà ad un avvio automatico all'accensione del computer.

Come parte della sequenza di malware inclusa, il malware installerà un pericoloso criptovaluta minatore che eseguirà le attività tipiche associate a questo tipo di virus. I minatori sono script specifici che possono essere eseguiti da singoli processi o dalle finestre del browser web. Mirano a scaricare e recuperare una sequenza di attività ad alte prestazioni. I componenti hardware più importanti saranno interessati, inclusa la CPU, spazio su disco rigido, memoria, velocità di rete e la scheda grafica. Per ogni attività completata e segnalata, gli hacker riceveranno come ricompensa risorse di criptovaluta.

Correlata: [wplinkpreview url =”https://sensorstechforum.com/xorddos-kaiji-linux-botnet-docker/”]Le botnet XORDDoS e Kaiji Linux sono state lanciate contro i server Docker

Uno dei compiti principali che verranno eseguiti è quello di condurre a by-pass di sicurezza — questo cercherà i processi identificati come software di sicurezza e li fermerà. L'elenco delle applicazioni correnti interessate sono le seguenti:

Avira, NOME DEL COMPUTER, CWSX, VBOX, cuculo, nmsdbox, sandbox, Wilbert-sc, xxxx - ox, WILBERT-SC, XPAMASTC, cappa, XXXX-OS, sleepx-, QEMU, virtuale, xpamast-sc e cuckoosandbox

Malware Lucifer ha anche la capacità di effettuare distributed denial of service attacchi che può essere controllato dagli hacker per condurre procedure di sabotaggio.

La operazione programmata sarà inoltre istituito il quale fa parte del complesso modifiche al sistema opzioni. Entrambe le versioni includono funzionalità avanzate che includono le seguenti opzioni:

  • Cancellazione dei registri degli eventi registrati dal sistema operativo
  • Raccolta delle informazioni sull'interfaccia di rete e invio dello stato corrente del cryptominer
  • Processo di uccisione
  • Inizializzazione di parametri personalizzati relativi alla criptovaluta o uccisione dei processi in esecuzione
  • Ulteriore infezione mediante un metodo a forza bruta inteso a sfruttare altri dispositivi accessibili sulla rete
  • Salvataggio della configurazione in un file TEXT preimpostato
  • Esecuzione di un attacco DoS TCP / UDP / HTTP
  • Riattivare l'attacco DoS
  • Download ed esecuzione di un file da un server di comando e controllo
  • Esecuzione del comando remoto dal server controllato dagli hacker
  • Disabilitazione della funzione di segnalazione dello stato del minatore
  • Abilitazione della funzione di segnalazione dello stato del minatore
  • Il valore del registro di Windows cambia
  • Ripristino del set corrente e interruzione del processo minerario di criptovaluta

Consigliamo a tutti gli utenti di aggiornare il loro software di servizio e l'applicazione di produttività al fine di correggere le vulnerabilità.

Martin Beltov

Martin si è laureato con una laurea in Pubblicazione da Università di Sofia. Come un appassionato di sicurezza informatica si diletta a scrivere sulle ultime minacce e meccanismi di intrusione.

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo