DirtyMoe é o nome de uma nova amostra de malware com capacidades de vermifugação (com cryptomining como objetivo principal) analisado por pesquisadores da Avast.
A análise revela que o módulo de desparasitação tem como alvo, vulnerabilidades conhecidas, tal como Azul eterno e Batata quente. O DirtyMoe também é capaz de realizar um ataque de dicionário usando o Service Control Manager Remote Protocol (SCMR), WMI, e serviços MS SQL. Os pesquisadores também descobriram um algoritmo que gera endereços IP das vítimas com base na localização geográfica do módulo de worming. O que isto significa?
“Um módulo de worm pode gerar e atacar centenas de milhares de endereços IP públicos e privados por dia; muitas vítimas estão em risco, pois muitas máquinas ainda usam sistemas não corrigidos ou senhas fracas,”Disseram os pesquisadores. Deve-se notar também que o malware usa um design modular saudável, o que significa que novos módulos de worming podem ser adicionados em breve, visando vulnerabilidades generalizadas.
Como o malware DirtyMoe é propagado na natureza?
Os pesquisadores estão atualmente observando três abordagens principais que espalham o malware: PurpleFox EK, Verme PurleFox, e Instaladores de Telegram injetados servem como meios para espalhar e instalar o DirtyMoe. Contudo, é altamente provável que o malware também use outras técnicas de distribuição.
O malware usa as seguintes vulnerabilidades como ponto de entrada para um sistema:
CVE:2019-9082: ThinkPHP – Múltiplos RCEs de injeção de PHP
CVE:2019-2725: Oracle Weblogic Server – RCE de desserialização 'AsyncResponseService'
CVE:2019-1458: WizardOpium Local Privilege Escalation
CVE:2018-0147: Vulnerabilidade de desserialização
CVE:2017-0144: Execução remota de código SMB EternalBlue (MS17-010)
MS15-076: RCE Permitir Elevação de Privilégio (Escalação de privilégios do Windows Hot Potato)
Ataques de dicionário a servidores MS SQL, SMB, e Instrumentação de Gerenciamento do Windows (WMI)
Parece que o malware está ficando mais difundido globalmente, que é resultado de sua estratégia de worming de gerar alvos usando um gerador de IP pseudo-aleatório. Esta técnica torna o DirtyMoe mais flexível e eficiente. Além disso, o malware pode ser expandido para máquinas escondidas atrás do NAT (Tradução de acesso à rede), que possibilita sua movimentação lateral em redes locais.
“Uma única instância do DirtyMoe pode gerar e atacar até 6,000 Endereços IP por segundo,” o relatório adicionado.
A quantidade de instâncias DirtyMoe ativas pode significar que pode colocar em risco centenas de milhares de máquinas por dia. O surgimento de novas vulnerabilidades críticas, como Log4j, fornecer ainda “uma tremenda e poderosa oportunidade para implementar um novo módulo de worming”. É por isso que os pesquisadores continuarão monitorando as atividades de vermifugação do DirtyMoe, em busca de novos módulos.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: