Descoberto malmware que usa Vulnerabilidades Antigas do Elasticsearch

Foi descoberto um malmware que usa Vulnerabilidades Antigas do Elasticsearch para trocar o Coinminer, ou mineiro de criptomoedas. Confira os detalhes e entenda.


A criatividade dos hackers tem estado em alta ultimamente. Mas agora, em vez de informações de cartões de crédito e roubo de contas bancárias, o foco é a mineração de criptomoedas.

Descoberto malmware que usa Vulnerabilidades Antigas do Elasticsearch
Descoberto malmware que usa Vulnerabilidades Antigas do Elasticsearch

Eles tem se esforçado tanto para conseguir computadores para minerarem moedas digitais, que já estão até mesmo se aproveitando de equipamentos conectados à Internet que ainda possuem vulnerabilidades antigas.

Descoberto malmware que usa Vulnerabilidades Antigas do Elasticsearch para trocar o Coinminer

A Trend Micro e a ISC recentemente observaram que uma campanha de malware está varrendo a Internet em busca de instâncias exploráveis ​​do Elasticsearch rodando em máquinas Linux.

Nos dois relatos, foi informado que o malware está substituindo uma variante do XMRig cryptocurrency miner.

O Elasticsearch é um servidor de buscas distribuído baseado no Apache Lucene, que foi desenvolvido por Shay Banon e disponibilizado sobre os termos da Apache License.

Sobre a campanha, a Trend Micro disse o seguinte:

“O ataque foi implementado aproveitando as vulnerabilidades conhecidas CVE-2015-1427, uma vulnerabilidade em seu mecanismo de script Groovy que permite que atacantes remotos executem comandos arbitrários do shell por meio de um script criado, e CVE-2014-3120, uma vulnerabilidade no padrão configuração do Elasticsearch.”

Depois que os invasores obtêm a capacidade de executar comandos arbitrários nos sistemas comprometidos, eles podem “tentar escalonar os privilégios ou até mesmo migrar para outros sistemas para comprometer ainda mais a rede”.

Após a exploração bem-sucedida das vulnerabilidades, o malware executará vários comandos do shell e baixará e iniciará um script Bash chamado update.sh, que caçará e matará outros mineradores em execução no sistema local.

Em seguida, o script alcançará a persistência adicionando-se ao crontab do sistema para ser executado a cada 10 minutos, enquanto o primeiro trabalhará para que os mineiros que foram fechados na etapa anterior, não sejam iniciados novamente.

O script Bash malicioso também adicionará sua chave pública SSH ao arquivo .authorized_keys, para poder efetuar login no sistema, sem ter que usar uma combinação de nome de usuário/senha. No entanto, em uma curva do destino ou erro de programação, o script removerá o arquivo .authorized_keys.

Para finalizar o procedimento de infecção, o script faz o download do binário devtools (uma variante do mineiro XMRig) e do arquivo config.json, contendo a configuração do mineiro de criptomoeda, além de eliminar todos os logs, o que é feito para remover quaisquer vestígios de sua presença.

Além disso, o mineiro de criptografia foi previamente identificado em outros endpoints de todo o mundo, com locais que vão desde a China e Taiwan, até os Estados Unidos.

A Trend Micro concluiu que:

“Esse esquema já é amplamente usado, mas o script wrapper tem várias outras funções interessantes. O estilo de codificação é muito semelhante às ferramentas de hacking, e partes do código também foram identificadas em um caso relacionado ao Xbash antes.”

O que está sendo falado no blog

Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.