Casa > cibernético Notícias > Malware autopropagante do Lucifer contra computadores Windows
CYBER NEWS

Malware auto-propagador do Lucifer contra computadores com Windows

Um malware avançado do Microsoft Windows chamado Lucifer infectou computadores de destino usando um conjunto de recursos muito sofisticados. Foi detectado em uma campanha de ataque ativo que apresenta uma nova técnica de infecção por “bombardeio” hosts de computador com muitas explorações de vulnerabilidades até que uma fraqueza seja detectada. Uma das características distintas do malware Lucifer é que ele contém um mecanismo de auto-propagação.




O Lucifer Malware possui um mecanismo avançado de infecção

A comunidade de segurança relatou um novo malware perigoso do Microsoft Windows, chamado Lúcifer. Foi feita uma análise de segurança das amostras capturadas, indicando que essa é uma nova ameaça e a primeira versão é enviada em um ataque ao vivo..

o mecanismo de ataque envolve o seguinte de um teste padrão de múltiplas intrusões contra serviços de destino. Os hackers configuraram a infraestrutura de implantação para lançar um número muito grande de explorações em serviços abertos encontrados nas redes de computadores. Se uma correspondência for encontrada, a vulnerabilidade será explorada com base na regra de configuração que declara que o objetivo é instalar o malware Lucifer.

Em grande parte, isso significa que os ataques são realizados de maneira automática. Dado o fato de o malware Lucifer incluir muitos recursos avançados e não se basear em nenhuma das ameaças existentes. Isso significa que o grupo criminoso é provavelmente muito experiente, no momento em que sua identidade não é conhecida. As amostras capturadas indicam que as seguintes vulnerabilidades são direcionadas:

  • CVE-2014-6287 — A função findMacroMarker no parserLib.pas no Rejetto HTTP File Server (aks HFS ou HttpFileServer) 2.3x antes de 2.3c permite que atacantes remotos executem programas arbitrários através de um %00 sequência em uma ação de pesquisa.
  • CVE-2017-10271 — Vulnerabilidade no componente do Oracle WebLogic Server da Oracle Fusion Middleware (subcomponente: WLS Segurança). As versões suportadas que são afetados são 10.3.6.0.0, 12.1.3.0.0, 12.2.1.1.0 e 12.2.1.2.0. Facilmente vulnerabilidade explorável permite que invasor com acesso à rede via T3 para compromisso Oracle WebLogic Server. ataques bem sucedidos desta vulnerabilidade pode resultar em aquisição da Oracle WebLogic Server. CVSS 3.0 Score de base 7.5 (impactos Disponibilidade). CVSS Vector: (CVSS:3.0/DE:N / AC:G / Fri:N / IU:N / S:L / C:N / I:N / D:H).
  • CVE-2018-20062 — Um problema foi descoberto no NoneCms V1.3. O thinkphp / library / think / App.php permite que atacantes remotos executem código PHP arbitrário por meio do uso do parâmetro filter, conforme demonstrado pelo s = index / think Request / input&filter = phpinfo&data = 1 string de consulta.
  • CVE-2017-9791 — The Struts 1 O plug-in no Apache Struts 2.1.xe 2.3.x pode permitir a execução remota de código por meio de um valor de campo malicioso passado em uma mensagem bruta para o ActionMessage.
  • CVE-2019-9081 — O componente Illuminate do Laravel Framework 5.7.x possui uma vulnerabilidade de desserialização que pode levar à execução remota de código se o conteúdo for controlável, relacionados ao método __destruct da classe PendingCommand em PendingCommand.php.
  • PHPStudy – Execução remota de código de backdoor — Este módulo Metasploit pode detectar e explorar o backdoor do PHPStudy.
  • CVE-2017-0144 — O servidor SMBv1 no Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; janelas 7 SP1; janelas 8.1; Windows Server 2012 Ouro e R2; Windows RT 8.1; e Windows 10 Ouro, 1511, e 1607; e Windows Server 2016 permite que atacantes remotos executem código arbitrário por meio de pacotes criados, aka “Vulnerabilidade de execução remota de código no Windows SMB.” Esta vulnerabilidade é diferente das descritas em CVE-2017-0143, CVE-2017-0145, CVE-2017-0146, e CVE-2017-0148.
  • CVE-2017-0145 — O servidor SMBv1 no Microsoft Windows Vista SP2; Windows Server 2008 SP2 e R2 SP1; janelas 7 SP1; janelas 8.1; Windows Server 2012 Ouro e R2; Windows RT 8.1; e Windows 10 Ouro, 1511, e 1607; e Windows Server 2016 permite que atacantes remotos executem código arbitrário por meio de pacotes criados, aka “Vulnerabilidade de execução remota de código no Windows SMB.” Esta vulnerabilidade é diferente das descritas em CVE-2017-0143, CVE-2017-0144, CVE-2017-0146, e CVE-2017-0148.
  • CVE-2017-8464 — Shell do Windows no Microsoft Windows Server 2008 SP2 e R2 SP1, janelas 7 SP1, janelas 8, janelas 8.1, Windows Server 2012 Ouro e R2, Windows RT 8.1, janelas 10 Ouro, 1511, 1607, 1703, e Windows Server 2016 permite que usuários locais ou atacantes remotos executem código arbitrário por meio de um arquivo .LNK criado, que não é tratado adequadamente durante a exibição do ícone no Windows Explorer ou em qualquer outro aplicativo que analisa o ícone do atalho. aka “Vulnerabilidade de execução remota de código do LNK.”

Todas essas vulnerabilidades listadas são classificadas como crítico ou Alto por causa de seu impacto nas máquinas hospedadas. O malware Lucifer inclui um recurso sofisticado de criptografia no monero criptomoeda, até esta data as vítimas pagaram um total de 0.493527 XMR o que equivale a cerca de $32 USD.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/magnitude-ek-cve-2019-1367-ransomware/”]O Magnitude EK agora está usando o CVE-2019-1367 para descartar o Ransomware

O Lucifer Malware possui um módulo avançado de malware

O malware Lucifer foi encontrado para ser distribuído em duas versões distintas — diferenciados pelos especialistas em segurança como Versão 1 e Versão 2. O comum entre eles é que, ao serem lançados, eles iniciarão um Conexão Trojan para um servidor controlado por hackers, que permitirá que os controladores assumam o controle dos sistemas das vítimas. Isso permitirá que os controladores criminais tenham praticamente acesso a todos os arquivos armazenados no sistema. O endereço real será decodificado somente quando esta etapa precisar ser executada. Isso protege contra detecções comuns de assinaturas que fazem parte da maioria dos softwares de segurança.

Os próximos passos que fazem parte do mecanismo incluem muda para o Registro do Windows — eles levarão a uma instalação persistente da ameaça. O mecanismo do malware criará seqüências para si próprio no Registro, o que levará a uma inicialização automática quando o computador for ligado..

Como parte da sequência de malware incluída, o malware instalará um arquivo perigoso mineiro criptomoeda que executará as tarefas típicas associadas a esse tipo de vírus. Mineiros são scripts específicos que podem ser executados por processos individuais ou de dentro das janelas do navegador da web. Eles pretendem baixar e recuperar uma sequência de tarefas com alto desempenho. Os componentes de hardware mais importantes serão afetados, incluindo a CPU, espaço no disco rígido, memória, velocidade da rede e da placa gráfica. Para cada tarefa concluída e relatada, os hackers receberão ativos de criptomoeda como recompensa.

relacionado: [wplinkpreview url =”https://sensorstechforum.com/xorddos-kaiji-linux-botnet-docker/”]Botnets XORDDoS e Kaiji Linux lançados contra servidores Docker

Uma das principais tarefas que serão executadas é realizar uma ignorar a segurança — isso procurará por processos identificados como software de segurança e os interromperá. A lista de aplicativos atuais afetados inclui os seguintes:

Avira, NOME DO COMPUTADOR, CWSX, VBOX, cuco, nmsdbox, caixa de areia, wilbert-sc, xxxx - boi, WILBERT-SC, XPAMASTC, Kappa, XXXX-OS, sleepx-, qemu, virtual, xpamast-sc e cuckoosandbox

Malwares Lucifer também tem a capacidade de realizar ataques distribuídos de negação de serviço que pode ser controlado pelos hackers para realizar procedimentos de sabotagem.

UMA tarefa agendada também será instituído, que faz parte do orçamento geral mudanças no sistema opções. Ambas as versões incluem recursos avançados, que incluem as seguintes opções:

  • Limpeza dos logs de eventos conforme registrados pelo sistema operacional
  • Coletando informações da interface de rede e o envio do status atual do cryptominer
  • Process kill
  • Inicialização de parâmetros personalizados relacionados a criptomoeda ou eliminação dos processos em execução
  • Infecção adicional usando um método de força bruta que se destina a explorar outros dispositivos acessíveis na rede
  • Salvar configuração em um arquivo TEXT predefinido
  • Execução de um ataque TCP / UDP / HTTP DoS
  • Reativando o ataque DoS
  • Download e execução de um arquivo de um servidor de comando e controle
  • Execução do comando remoto a partir do servidor controlado por hackers
  • Desativando a função de relatório de status do mineiro
  • Ativando a função de relatório de status do mineiro
  • Alterações no valor do Registro do Windows
  • Reinicialização do conjunto atual e finalização do processo do minerador de criptomoedas

Aconselhamos todos os usuários a atualizar seus softwares de serviço e aplicativos de produtividade para corrigir as vulnerabilidades.

Martin Beltov

Martin formou-se na publicação da Universidade de Sofia. Como a segurança cibernética entusiasta ele gosta de escrever sobre as ameaças mais recentes e mecanismos de invasão.

mais Posts

Me siga:
Twitter

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

Este site utiliza cookies para melhorar a experiência do usuário. Ao utilizar o nosso site você concorda com todos os cookies de acordo com o nosso Política de Privacidade.
Concordo