Una nueva red de bots explota casi una docena de vulnerabilidades altas y críticas en los sistemas Windows para convertirlos en clientes de criptominería y lanzar ataques DDoS.
El malware detrás de la botnet recibió el nombre de Satan DDoS, aunque los investigadores de seguridad tomaron el nombre de Lucifer para evitar confusiones con el ransomware Satan.
La Unidad 42 de Palo Alto Networks comenzó a estudiar la red de bots después de que los investigadores de la compañía la descubrieron mientras seguían múltiples incidentes relacionados con la explotación de una vulnerabilidad crítica en un componente del marco web de Laravel que puede conducir a la ejecución remota de código.
Al principio, se suponía que el malware Lucifer se utilizaría para explotar la criptomoneda Monero. Sin embargo, más tarde se hace evidente que el malware también contiene un componente DDoS, así como un mecanismo de autopropagación que utiliza vulnerabilidades graves y un forzamiento brutal en su beneficio.
มัลแวร์ ลูซิเฟอร์
En una publicación de blog, la Unidad 42 proporcionó detalles adicionales sobre el poder del malware Lucifer, diciendo:
"Lucifer es bastante poderoso en sus habilidades. No solo es capaz de eliminar XMRig para el criptojacking de Monero, sino que también es capaz de mandar y controlar (C2) y propagarse automáticamente mediante la explotación de múltiples vulnerabilidades y el forzado crudo de credenciales. Además, elimina y ejecuta la puerta trasera EternalBlue, EternalRomance y DoublePulsar contra objetivos vulnerables para infecciones de intranet. "
Los operadores detrás de Lucifer han explotado exploits para 11 vulnerabilidades diferentes, todas las cuales han sido reparadas desde entonces. Sin embargo, los delincuentes cibernéticos a menudo explotan vulnerabilidades antiguas para atacar a los usuarios que aún no han parcheado sus sistemas.
La última versión del malware de la botnet también incluye protección contra escaneo que le permite verificar el nombre de usuario y el nombre de la computadora de una máquina infectada antes de realizar sus operaciones. Si se encuentran nombres que coinciden con los entornos de escaneo, el malware se detiene.
Para protegerse contra Lucifer, las empresas y las personas deben mantener su software actualizado con los últimos parches y utilizar contraseñas seguras.
Vía BleepingComputer