I criminali informatici usano il trucco dell'offuscamento per installare il malware di Crypto Mining

Cybersecurity la società Trend Micro ha confermato che gli hacker hanno sfruttato una vulnerabilità nel server Oracle WebLogic per installare monero (XMR) malware di mining, mentre si usano i file di certificato come trucco di offuscamento. La notizia è stata rivelata in un Trend Micro post sul blog pubblicato il 10 giugno.

Come riportato in precedenza, anche le forme di criptazione invisibile vengono citate con il termine del settore cryptojacking – la pratica di installare malware che utilizza la potenza di elaborazione di un computer per il mio per criptovalute senza il consenso o la conoscenza del proprietario.

Secondo il post di Trend Micro, una patch di sicurezza per la vulnerabilità Oracle WebLogic ("CVE-2019-2725") – a quanto riferito causato da un errore di deserializzazione – è stata rilasciato nel database di vulnerabilità nazionale all'inizio di questa primavera.

Tuttavia, Trend Micro cita rapporti che sono emersi sul forum SANS ISC InfoSec che afferma che la vulnerabilità è già stata sfruttata per scopi di crittografia e conferma che ha verificato e analizzato le accuse.

L'azienda rileva che gli attacchi identificati hanno implementato ciò che descrive come "una svolta interessante", ovvero che "il malware nasconde i suoi codici malevoli nei file di certificati come tattiche offensive":

"L'idea di utilizzare i file di certificato per nascondere il malware non è nuova (…) Utilizzando i file di certificato per scopi di offuscamento, un malware può evadere il rilevamento poiché il file scaricato si trova in un formato di file certificato che è visto come normale – specialmente quando si stabiliscono connessioni HTTPS. "

L'analisi di Trend Micro inizia rilevando che il malware sfrutta CVE-2019-2725 per eseguire un comando di PowerShell, richiedendo il download di un file di certificato dal server di comando e controllo.

Dopo aver continuato a tracciare i suoi passi e le sue caratteristiche – inclusa l'installazione del payload del minatore XMR – Micro Trend nota un'apparente anomalia nel suo attuale sviluppo:

"(O) abbastanza facilmente, dopo l'esecuzione del comando PS dal file certificato decodificato, altri file dannosi vengono scaricati senza essere nascosti tramite il formato di file certificato menzionato in precedenza. Questo potrebbe indicare che il metodo di offuscamento è attualmente testato per la sua efficacia, con la sua espansione ad altre varianti di malware ancorate in un secondo momento. "

Il post si conclude con una raccomandazione alle aziende che utilizzano WebLogic Server per aggiornare il loro software all'ultima versione con la patch di sicurezza al fine di mitigare il rischio di crittografia.

Di recente segnalati, Trend Micro ha rilevato un aumento significativo del targeting per cryptojacking XMR Cinaquesta primavera, in una campagna che imita le attività precedenti che avevano utilizzato uno script PowerShell offuscato per fornire malware XMR-mining.



Source link