Pesquisadores de segurança descobriram recentemente o Gitpaste-12, um novo worm usando GitHub e Pastebin para manter o código do componente. O novo malware tem 12 diferentes módulos de ataque disponíveis, diz a empresa de segurança Juniper.
Worm Gitpaste-12 direcionado a servidores x86 baseados em Linux
O worm Gitpaste-12 se tornou evidente para os pesquisadores em outubro, com novos ataques registrados em novembro. Os ataques iniciais tinham como alvo servidores x86 baseados em Linux, bem como dispositivos Linux ARM e IoT baseados em MIPS.
Os pesquisadores apelidaram o malware Gitpaste-12 porque ele usa o GitHub, Pastebin, e 12 métodos para comprometer um sistema direcionado. Os pesquisadores relataram a URL do Pastebin e o repositório git usados nos ataques após sua descoberta. O repo git foi posteriormente fechado em outubro 30, 2020.
A segunda onda de ataques começou em novembro 10, e a Juniper diz que estava usando payloads de outro repositório GitHub. O repo continha um malwarе de criptografia Linux, um arquivo com senhas para ataques de força bruta, e uma exploração de escalonamento de privilégio local para sistemas x86_64.
A infecção inicial ocorre via X10-Unix, um binário escrito na linguagem de programação Go, que baixa as cargas úteis do próximo estágio do GitHub.
Que tipo de dispositivo o Gitpaste-12 visa?
Aplicativos da web, Câmeras IP, e os roteadores são os alvos principais do worm em “uma ampla série de ataques”. Os ataques estão usando pelo menos 31 vulnerabilidades conhecidas, sete dos quais foram vistos na amostra de malware anterior. O worm também tenta comprometer as conexões do Android Debug Bridge, e backdoors de malware existentes, diz o pesquisador da Juniper, Asher Langton.
É digno de nota que a maioria das explorações que o worm usa são novas, com divulgações públicas e códigos de prova de conceito datados recentemente, em setembro. As instâncias recentes de Gitpaste-12 estão tentando realizar essas três etapas:
1. Instale o software de criptominação Monero.
2. Instale a versão apropriada do worm X10-unix.
3. Abra um backdoor ouvindo nas portas 30004 e 30006 e enviar o endereço IP da vítima para uma pasta Pastebin privada.
Uma lista de todos os exploits usados nos ataques e mais detalhes técnicos estão disponíveis em Relatório da Juniper.
Em outubro, pesquisadores de segurança descobriram outro anteriormente malware desconhecido chamado Ttint, categorizado como um cavalo de Tróia específico para IoT. Os invasores estavam usando duas vulnerabilidades de dia zero para comprometer os dispositivos visados, CVE-2018-14558 e CVE-2020-10987. Das amostras capturadas, parece que o malware foi baseado no código Mirai.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: