Threat Database Malware WatchDog Malware

WatchDog Malware

I ricercatori di Infosec hanno scoperto una campagna di cryptojacking che ha funzionato sotto il radar per oltre 2 anni in silenzio ed è ancora operativa. Gli hacker finora sono riusciti a violare almeno 476 sistemi Windows e Linux e hanno generato circa 209 monete di criptovaluta Monero. I prezzi delle criptovalute sono notoriamente volatili, ma al prezzo attuale di Monero, i criminali informatici hanno accumulato oltre $ 30.000. Se la tendenza al rialzo continua, il prezzo delle monete Monero potrebbe salire più in alto con conseguenti guadagni ancora maggiori per gli hacker.

Il malware distribuito nella campagna è chiamato WatchDog Malware. Consiste in un set di tre file binari scritti nel linguaggio di programmazione open source Go e in un file di script bash o PowerShell. Ciascuna parte dell'insieme binario è responsabile dell'esecuzione di un'attività diversa. Il file del gestore di rete viene eseguito come scansione di rete e vettore di sfruttamento iniziale. A differenza dei ceppi malware di cryptojacking precedentemente stabiliti, WatchDog è dotato di una vasta gamma di exploit e vulnerabilità che può utilizzare: 33 exploit specifici, 32 funzioni RCE (esecuzione di codice remoto) e diverse funzioni di cattura della shell. Tra gli obiettivi della minaccia vi sono i server vulnerabili Elasticsearch e OracleWebLogic. WatchDog sfrutta le vulnerabilità CVE-2015-1427 e CVE-2014-3120 per Elastisearch e CVE-2017-10271 per i server Oracle WebLogic.

La seconda parte binaria (phpguard) emula un demone watchdog legittimo e garantisce che i sistemi violati non vengano sovraccaricati o subiscano un errore critico. Può testare l'utilizzo della memoria, i processi attualmente attivi e lo spazio tabella dei processi e assicurarsi che tutto sia nella norma e impedire il ripristino del sistema. L'ultima parte di WatchDog (phpupdate) è il minaccioso payload, una versione del malware di cryptomining XMRig.

Finora i criminali dietro la campagna WatchDog si accontentano di limitare le loro operazioni solo al cryptojacking. Tuttavia, i ricercatori di infosec avvertono che gli hacker potrebbero aumentare rapidamente la portata del loro attacco grazie ai dati di Identity and Access Management (IAM) acquisiti dai sistemi già violati. Le credenziali raccolte potrebbero essere sfruttate dagli aggressori per fornire malware molto più minacciosi.

Post correlati

Tendenza

I più visti

Caricamento in corso...