Trend Micro: cibercriminosos usam truques de ofuscação para instalar malware de mineração de criptomoeda
A empresa de segurança cibernética Trend Micro confirmou que os invasores estão explorando uma vulnerabilidade no servidor Oracle WebLogic para instalar malware de mineração de XMR
A empresa de segurança cibernética Trend Micro confirmou que os invasores têm explorado uma vulnerabilidade no servidor Oracle WebLogic para instalar malware de mineração de monero ( XMR ), enquanto usam arquivos de certificado como um truque de ofuscação. A notícia foi revelada em um post no blog da Trend Micro publicado em 10 de junho.
Como relatado anteriormente, as formas de mineração de criptomoedas voltadas a privacidade, também são nomeadas cryptojacking – a prática de instalar malware que utiliza o poder de processamento de um computador para minerar para crriptomoedas sem o consentimento ou conhecimento do proprietário.
De acordo com a publicação da Trend Micro, um patch de segurança para a vulnerabilidade do Oracle WebLogic (“CVE-2019-2725”) – supostamente causado por um erro de desserialização – foi lançado no banco de dados nacional de vulnerabilidades no início deste ano.
No entanto, a Trend Micro cita relatórios que surgiram no fórum SANS ISC InfoSec, alegando que a vulnerabilidade já foi explorada para fins de mineração malicioasa de criptomoedas e confirma que verificou e analisou as alegações.
A empresa observa que os ataques identificados implantaram o que descreve como “uma reviravolta interessante” – a saber, “o malware esconde seus códigos maliciosos em arquivos de certificado como uma tática de ofuscação”:
“A idéia de usar arquivos de certificado para ocultar malware não é nova […] usando arquivos de certificado para fins de ofuscação, um malware pode evitar a detecção, pois o arquivo baixado está em um formato de arquivo de certificado que é visto como normal – especialmente ao estabelecer conexões HTTPS. ”
A análise da Trend Micro começa observando que o malware explora o CVE-2019-2725 para executar um comando do PowerShell, solicitando o download de um arquivo de certificado do servidor de comando e controle.
Depois de continuar a rastrear suas etapas e características – incluindo a instalação da carga útil do minerador XMR – o Micro Trend observa uma aparente anomalia em sua implantação atual:
“O suficiente, após a execução do comando PS a partir do arquivo de certificado decodificado, outros arquivos maliciosos são baixados sem serem ocultados através do formato de arquivo de certificado mencionado anteriormente. Isso pode indicar que o método de ofuscação está atualmente sendo testado quanto à sua eficácia, com a expansão para outras variantes de malware em uma data posterior ”.
O post conclui com uma recomendação às empresas que usam o WebLogic Server para atualizar seu software para a versão mais recente com o patch de segurança, a fim de reduzir o risco de cryptojacking.
Como relatado recentemente , a Trend Micro detectou um grande aumento nos malwares baseados na mineração de XMR que são destinados especificamente a sistemas baseados na China nesta primavera, em uma campanha que imita atividades anteriores que usaram um script ofuscado do PowerShell para entregar malware de mineração XMR.