Un élément récemment identifié de malware de cryptojacking comprend des fonctionnalités qui permettent à ses opérateurs de lancer des attaques par déni de service distribué (DDoS), rapporte Palo Alto Networks.

Surnommé Lucifer, le malware a été observé pour la première fois le 29 mai, dans le cadre d’une campagne toujours en cours, mais qui est passée à une variante mise à niveau le 11 juin.

La menace a été conçue pour supprimer XMRig pour l’exploitation minière de Monero, elle peut se propager d’elle-même en ciblant diverses vulnérabilités, est capable de commander et de contrôler (C&C), et supprime et exécute EternalBlue, EternalRomance et la porte dérobée DoublePulsar sur les cibles vulnérables pour l’intranet infections.

Lucifer, révèle les chercheurs en sécurité de Palo Alto Networks, cible une longue liste de vulnérabilités critiques et de gravité élevée, dans des logiciels tels que Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel et Windows.

Les failles de sécurité ciblées sont CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, CVE-2018-20062, CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, PHPStudy Backdoor RCE, CVE-2017-0144, CVE-2017-0145 et CVE-2017-8464.

Une exploitation réussie de ces bogues offre aux attaquants la possibilité d’exécuter du code sur les machines cibles. Bien que les mises à jour logicielles pour résoudre ces problèmes soient disponibles depuis un certain temps, de nombreux systèmes ne sont pas corrigés et exposés aux attaques.

Le logiciel malveillant contient trois sections de ressources, chacune contenant un binaire dans un but spécifique: les versions x86 et x64 de XMRig 5.5.0, et les exploits du groupe d’équations (EternalBlue et EternalRomance, et l’implant de porte dérobée DoublePulsar).

Une fois qu’il a infecté une machine, Lucifer continue de gagner en persistance en définissant des valeurs de clé de registre spécifiques. Le malware s’autorise avec le privilège de débogage et commence à fonctionner en lançant plusieurs threads.

Pour la propagation, le malware recherche les ports TCP ouverts 135 (RPC) et 1433 (MSSQL) et tente …

Voir la source de cette publication