O Lucifer Malware Abusa de Vulnerabilidades Críticas
Uma nova e poderosa variante de malware, capaz de executar ataques de DDoS e de coletar moedas digitais está circulando na Internet, explorando vulnerabilidades que se espalham nas máquinas com o Windows. O malware, chamado de Lucifer, faz parte de uma campanha em andamento contra os hosts do Windows. O malware usa explorações nos seus ataques, de acordo com a Unidade 42 da Palo Alto Networks.
O operador do malware nomeou o seu novo malware como Satan DDoS, mas o Satan Ransomware já existe, então Palo Alto mudou o nomeoara um outro semelhante. Uma postagem no blog dos pesquisadores Durgesh Sangvikar, Ken Hsu, Chris Navarette e Zhibin Zhang mencionou que a variante 2.0 do Lucifer, encontrada em 29 de maio de 2020, estava explorando o CVE-2019-9081. O bug de desserialização no Laravel Framework poderia ser abusado para conduzir ataques de execução remota de código.
Após a análise, eles concluíram que o malware usa muitas vulnerabilidades, tais como CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, vulnerabilidades do ThinkPHP RCE (CVE-2018-20062), CVE-2018-7600, CVE -2017-9791, CVE-2019-9081, CVE-2017-0144, CVE-2017-0145 e CVE-2017-8464.
Correções foram disponibilizadas para as falhas de segurança armadas. Os hosts que não foram atualizados ainda são vulneráveis a esses problemas, com a possível execução de um código que leva à mineração de criptomoeda e outros problemas.
A Sofisticação do Lucifer Malware Permite Usar Métodos de Ataque de Força Bruta
O Lucifer é considerado um tipo híbrido e poderoso de malware capaz de aproveitar as máquinas infectadas para atingir outras pessoas com ataques de DDoS e criptojacking.
O malware digitaliza as portas TCP abertas 135 (RPC) e 1433 (MSSQL) para encontrar alvos, usando ataques de preenchimento de credenciais para obter acesso às vítimas. De acordo com os pesquisadores, o malware infecta os alvos por meio de WMI, SMB, IPC e FTP através de ataques de força bruta, além de RPC e MSSQL e compartilhamento de rede. Uma vez encontrado em um dispositivo, o malware descarta o XMRig, um programa usado para minar a criptomoeda Monero em segredo. O Lucifer também se conecta a um servidor de comando e controle para receber novos comandos, iniciar um ataque de DDoS, transferir dados roubados e manter os operadores informados sobre o software minerador de criptografia. O Lucifer usa várias vulnerabilidades e ataques de força bruta para atingir hosts adicionais que não a infecção inicial.
Segundo os pesquisadores, os alvos são hosts do Windows localizados na Internet e na Intranet, já que os atacantes estão usando o utilitário certutil na carga útil para propagar o malware.
Os backdoors EternalBlue, EternalRomance e DoublePulsar são descartados para permitir persistência, e o malware também mexe com o Registro do Windows para agendar-se como uma tarefa na inicialização do sistema. O Lucifer também evita a detecção ou a engenharia reversa em potencial, verificando se está sendo executado em um ambiente de sandbox ou máquina virtual. Se tudo isso for verdade, o malware entra em um estado que interrompe todas as operações.O primeiro ataque visto usando o Lucifer versão 1 foi detectado em 10 de junho de 2020. Segundo os pesquisadores, levou apenas um dia para que o malware fosse atualizado para a versão 2, que tinha capacidades muito maiores e causou muitos danos.