Pesquisadores de segurança descobriram recentemente o Gitpaste-12, um novo worm usando GitHub e Pastebin para manter o código do componente. O novo malware tem 12 diferentes módulos de ataque disponíveis, diz a empresa de segurança Juniper.
Worm Gitpaste-12 direcionado a servidores x86 baseados em Linux
O worm Gitpaste-12 se tornou evidente para os pesquisadores em outubro, com novos ataques registrados em novembro. Os ataques iniciais tinham como alvo servidores x86 baseados em Linux, bem como dispositivos Linux ARM e IoT baseados em MIPS.
Os pesquisadores apelidaram o malware Gitpaste-12 porque ele usa o GitHub, Pastebin, e 12 métodos para comprometer um sistema direcionado. Os pesquisadores relataram a URL do Pastebin e o repositório git usados nos ataques após sua descoberta. O repo git foi posteriormente fechado em outubro 30, 2020.
A segunda onda de ataques começou em novembro 10, e a Juniper diz que estava usando payloads de outro repositório GitHub. O repo continha um malwarе de criptografia Linux, um arquivo com senhas para ataques de força bruta, e uma exploração de escalonamento de privilégio local para sistemas x86_64.
A infecção inicial ocorre via X10-Unix, um binário escrito na linguagem de programação Go, que baixa as cargas úteis do próximo estágio do GitHub.
Que tipo de dispositivo o Gitpaste-12 visa?
Aplicativos da web, Câmeras IP, e os roteadores são os alvos principais do worm em “uma ampla série de ataques”. Os ataques estão usando pelo menos 31 vulnerabilidades conhecidas, sete dos quais foram vistos na amostra de malware anterior. O worm também tenta comprometer as conexões do Android Debug Bridge, e backdoors de malware existentes, diz o pesquisador da Juniper, Asher Langton.
É digno de nota que a maioria das explorações que o worm usa são novas, com divulgações públicas e códigos de prova de conceito datados recentemente, em setembro. As instâncias recentes de Gitpaste-12 estão tentando realizar essas três etapas:
1. Instale o software de criptominação Monero.
2. Instale a versão apropriada do worm X10-unix.
3. Abra um backdoor ouvindo nas portas 30004 e 30006 e enviar o endereço IP da vítima para uma pasta Pastebin privada.
Uma lista de todos os exploits usados nos ataques e mais detalhes técnicos estão disponíveis em Relatório da Juniper.
Em outubro, pesquisadores de segurança descobriram outro anteriormente malware desconhecido chamado Ttint, categorizado como um cavalo de Tróia específico para IoT. Os invasores estavam usando duas vulnerabilidades de dia zero para comprometer os dispositivos visados, CVE-2018-14558 e CVE-2020-10987. Das amostras capturadas, parece que o malware foi baseado no código Mirai.