Foi descoberto um malmware que usa Vulnerabilidades Antigas do Elasticsearch para trocar o Coinminer, ou mineiro de criptomoedas. Confira os detalhes e entenda.
- Lightning Framework, um novo malware Linux que instala rootkits, backdoors
- Como instalar o gerenciador de tokens Nitrokey-app no Linux via Snap
- Galaxy Z Flip 5 e Fold 5 Recebem Atualização de Segurança de Dezembro
A criatividade dos hackers tem estado em alta ultimamente. Mas agora, em vez de informações de cartões de crédito e roubo de contas bancárias, o foco é a mineração de criptomoedas.
Eles tem se esforçado tanto para conseguir computadores para minerarem moedas digitais, que já estão até mesmo se aproveitando de equipamentos conectados à Internet que ainda possuem vulnerabilidades antigas.
Descoberto malmware que usa Vulnerabilidades Antigas do Elasticsearch para trocar o Coinminer
A Trend Micro e a ISC recentemente observaram que uma campanha de malware está varrendo a Internet em busca de instâncias exploráveis do Elasticsearch rodando em máquinas Linux.
Nos dois relatos, foi informado que o malware está substituindo uma variante do XMRig cryptocurrency miner.
O Elasticsearch é um servidor de buscas distribuído baseado no Apache Lucene, que foi desenvolvido por Shay Banon e disponibilizado sobre os termos da Apache License.
Sobre a campanha, a Trend Micro disse o seguinte:
“O ataque foi implementado aproveitando as vulnerabilidades conhecidas CVE-2015-1427, uma vulnerabilidade em seu mecanismo de script Groovy que permite que atacantes remotos executem comandos arbitrários do shell por meio de um script criado, e CVE-2014-3120, uma vulnerabilidade no padrão configuração do Elasticsearch.”
Depois que os invasores obtêm a capacidade de executar comandos arbitrários nos sistemas comprometidos, eles podem “tentar escalonar os privilégios ou até mesmo migrar para outros sistemas para comprometer ainda mais a rede”.
Após a exploração bem-sucedida das vulnerabilidades, o malware executará vários comandos do shell e baixará e iniciará um script Bash chamado update.sh, que caçará e matará outros mineradores em execução no sistema local.
Em seguida, o script alcançará a persistência adicionando-se ao crontab do sistema para ser executado a cada 10 minutos, enquanto o primeiro trabalhará para que os mineiros que foram fechados na etapa anterior, não sejam iniciados novamente.
O script Bash malicioso também adicionará sua chave pública SSH ao arquivo .authorized_keys, para poder efetuar login no sistema, sem ter que usar uma combinação de nome de usuário/senha. No entanto, em uma curva do destino ou erro de programação, o script removerá o arquivo .authorized_keys.
Para finalizar o procedimento de infecção, o script faz o download do binário devtools (uma variante do mineiro XMRig) e do arquivo config.json, contendo a configuração do mineiro de criptomoeda, além de eliminar todos os logs, o que é feito para remover quaisquer vestígios de sua presença.
Além disso, o mineiro de criptografia foi previamente identificado em outros endpoints de todo o mundo, com locais que vão desde a China e Taiwan, até os Estados Unidos.
A Trend Micro concluiu que:
“Esse esquema já é amplamente usado, mas o script wrapper tem várias outras funções interessantes. O estilo de codificação é muito semelhante às ferramentas de hacking, e partes do código também foram identificadas em um caso relacionado ao Xbash antes.”