2019-2-08

SEGURANÇA

Detetado malware dirigido a servidores Linux

A Check Point Research descobriu uma nova campanha de malware que explora os servidores Linux para implementar um Backdoor Trojan

Apelidado de “SpeakUp”, o novo Trojan explora vulnerabilidades em seis diferentes distribuições de Linux e tem como target os servidores de todo o mundo, incluindo as AWS hosted machines. 

O SpeakUp atua através da propagação interna entre a sub-rede infetada e através de novos endereços IP, aproveitando a execução de vulnerabilidades de código remoto. Além disso, o SpeakUp apresenta capacidades para infetar dispositivos Mac sem deixar rasto.

A verdadeira identidade do ator por detrás deste novo ataque ainda não está confirmada, no entanto, a equipa de investigação da Check Point conseguiu relacionar o autor do SpeakUp com o criador do malware Zettabit. Apesar do SpeakUp ter sido implementado de maneira diferente, existe muito em comum com a criação e desenho do já conhecido Zettabit.

O vetor inicial da infeção tem como objetivo a última vulnerabilidade conhecida em ThinkPHP e utiliza técnicas de injeção de comandos para carregar um interprete de comandos PHP, com o objetivo de executar um Backdoor Perl.

O processo consiste em três passos: aproveitar a vulnerabilidade CV-2018-20062 para carregar o interprete de comandos PHP, instalar o backdoor e, finalmente, executar o malware. 

A partir do momento em que o SpeakUp se regista com o C&C (Centro de Comandos e Controlo) são enviadas novas tarefas, a grande maioria centradas em fazer o download e executar diferentes documentos. Um dos pontos a destacar diz respeito aos User-Agents que utilizam SpeakUp. Este malware utiliza três tipos diferentes, dois dos quais são MacOS, que o dispositivo infetado debe utilizar em toda a comunicação C&C. Atualmente, o SpeakUp utiliza mineradores XMRig nos servidores infetados e, segundo a XMRHunter, as carteiras eletrónicas afetadas contam com um total de 107 moedas Monero, aproximandamente. 

Por outro lado, as cargas ofuscadas e a técnica de propagação do SpeakUp revelam que existe uma maior ameaça, escondida por detrás deste malware. Além disso torna-se difícil de acreditar que alguém possa chegar a construir um conjunto de cargas úteis tão complexo com o objetivo de instalar alguns mineiros de criptomoeda. Por isso, esse facto convida a pensar que a pessoa por de trás desta campanha pode, a qualquer momento, disseminar cargas úteis adicionais que sejam potencialmente mais intrusivas e ofensivas. 

Assim tem a capacidade de monitorizar a rede circundante de um servidor infectado e distribuir o malware. Portanto, ainda que esta ameaça seja relativamente recente, tem a capacidade de se converter em algo maior e potencialmente mais nocivo. 

Recomendado pelos leitores

Descoberta vulnerabilidade nos Windows Servers Deployment Services
SEGURANÇA

Descoberta vulnerabilidade nos Windows Servers Deployment Services

LER MAIS

Cibercrime pode ter custo de 5,2 biliões de dólares para as empresas
SEGURANÇA

Cibercrime pode ter custo de 5,2 biliões de dólares para as empresas

LER MAIS

ESET denuncia nova campanha de ciberextorsão
SEGURANÇA

ESET denuncia nova campanha de ciberextorsão

LER MAIS

IT CHANNEL Nº 56 ABRIL 2019

IT CHANNEL Nº 56 ABRIL 2019

VER EDIÇÕES ANTERIORES

O nosso website usa cookies para garantir uma melhor experiência de utilização.