Os especialistas da Palo Alto Networks prepararam um relatório no malware Lúcifer, que usa muitas explorações e, de acordo com os especialistas, “causa estragos” em hosts Windows. Observa-se que os próprios autores do malware chamaram sua ideia de Satan DDoS, mas os especialistas em segurança da informação chamam-no de Lúcifer para distingui-lo do criptógrafo Satanás.
O botnet Lucifer atraiu a atenção de pesquisadores após inúmeros incidentes envolvendo a exploração da vulnerabilidade crítica CVE-2019-9081 no framework Laravel, o que poderia levar à execução remota de código arbitrário.
Versão do malware que usa CVE-2019-9081, foi visto em maio 29, 2020, após o que a campanha parou em junho 10 e retomou depois de alguns dias, mas com uma versão atualizada do malware.
“Se inicialmente se acreditava que o malware era bastante simples e projetado para minerar criptomoedas (Monero), agora ficou claro que Lúcifer também possui um componente DDoS e um mecanismo de autodistribuição, construído sobre uma série de vulnerabilidades graves e força bruta”, – dizem os especialistas.
Para distribuição na rede, Lúcifer usa façanhas bem conhecidas como Eterno Azul, Romance Eterno e Pulsar Duplo, roubado de serviços especiais e em 2017 publicado em domínio público por The Shadow Brokers. Mas os atacantes não estão limitados apenas a este bug, então a lista de explorações colocadas em serviço por Lúcifer é a seguinte:
- CVE-2014-6287
- CVE-2018-1000861
- CVE-2017-10271
- CVE-2018-20062 (Vulnerabilidade RCE no ThinkPHP)
- CVE-2018-7600
- CVE-2017-9791
- CVE-2019-9081
- Backdoor RCE no PHPStudy
- CVE-2017-0144
- CVE-2017-0145
- CVE-2017-8464
Vale ressaltar que todas essas vulnerabilidades já foram corrigidas, e patches estão disponíveis para eles.
“Depois de usar exploits, um invasor pode executar comandos arbitrários em um dispositivo vulnerável. Considerando que os invasores usam o utilitário certutil na carga útil para distribuir o malware, nesse caso, os alvos são hosts Windows na Internet e na intranet”, - escrevem os pesquisadores.
Lúcifer também é capaz de escanear máquinas com TCP aberto 135 (RPC) e 1433 (MSSQL) portas e verifique se certas combinações de nomes de usuário e senhas são adequadas para elas. Para ataques de força bruta, o malware usa um dicionário com 300 senhas e sete nomes de usuário: sobre, sobre, são, kisadmin, SQLDepurador, mssql e Chred1433.
“O malware é capaz de infectar dispositivos usando IPC, WMI, SMB e FTP, usando força bruta, bem como usar MSSQL, RPC e compartilhamento de rede”,- dizem os pesquisadores.
Tendo infectado o sistema, Lúcifer coloca sua cópia lá usando o comando shell, e também instala o XMRig para mineração secreta da criptomoeda Monero (XMR). A julgar pelo facto de os criminosos actualmente ganharem apenas 0.493527 XMR (sobre $30 à taxa de câmbio atual), especialistas acreditam que a campanha maliciosa está apenas começando.
Também, ganhando uma posição no sistema, Lúcifer se conecta ao servidor de gerenciamento para receber comandos, por exemplo, para lançar um ataque DDoS, transferir dados roubados do sistema ou informar seus operadores sobre o estado do minerador.
Uma versão mais recente do malware também vem com proteção de análise e verifica o nome de usuário e a máquina infectada antes de atacar. Se Lúcifer descobrir que está funcionando em um ambiente analítico, cessa todas as atividades.
Lembre-se também que, de acordo com as observações de especialistas em segurança da informação, Evil Corp retorna à atividade criminosa com ransomware WastedLocker.