I ricercatori di Unit 42, il threat intelligence team di Palo Alto, hanno scoperto una nuova variante di un malware ibrido di cryptojacking. La scoperta di Lucifer, questo il nome del malware, è avvenuta lo scorso 29 maggio. Si tratta di variante di un malware ibrido di cryptojacking emerso da numerosi exploit di CVE-2019-9081 in the wild.
Un’analisi più attenta ha evidenziato che il malware è in grado di condurre anche attacchi DDoS con ogni tipo di exploit verso host Windows.
La prima ondata della campagna si è interrotta il 10 giugno 2020, riprendendo poi il giorno successivo, con una versione aggiornata del malware che ha seminato il caos. Il campione è stato individuato il giorno stesso e bloccato dal Next-Generation Firewall di Palo Alto Networks.
La campagna malware è ancora in corso e Lucifer è ancora molto pericoloso. Non solo è più efficace di XMRig per il criptojacking di Monero, ma è anche in grado di operare in modalità di comando e controllo (C2) e di auto-propagazione.
E questo attraverso lo sfruttamento di molteplici vulnerabilità e attacchi brute-force per ottenere credenziali.
Il pericolo dei malware ibridi
Sono numerose le vulnerabilità che possono essere sfruttate e permettono all’aggressore di eseguire comandi arbitrari sul dispositivo colpito. In questo caso, gli obiettivi sono gli host di Windows, su Internet e Intranet. Infatti l’attaccante sfrutta l’utility Certutil, integrata in Windows e utilizzata per la gestione dei certificati digitali, per diffondere il malware. Fortunatamente, le patch per queste vulnerabilità sono già disponibili.
Anche se le vulnerabilità sfruttate e le tecniche di attacco non sono nuove, sottolineano ancora una volta quanto sia importante per le aziende mantenere i sistemi aggiornati appena possibile, eliminando le credenziali deboli e stabilendo un livello di difesa adeguato.
Il pericolo dei malware ibridi
Una breve nota sul nome. Mentre l’autore del malware ha chiamato il suo malware Satan DDoS, esiste un altro malware, Satan Ransomware, che ha già quel nome subdolo. Al nuovo malware quindi è stato dato un alias alternativo, Lucifer, per rimanere fedeli alle stringhe uniche del codice.