Что нового?

Добро пожаловать!

Для того чтобы отправлять личные сообщения, общаться в чате, видеть скрытые материалы и зарабатывать $ вам необходимо зарегистрироваться!

Регистрация

Киберпреступники используют мошенническую уловку для установки вредоносного ПО Crypto Mining

K

Kelvin

Модератор
Регистрация
12 Ноя 2018
Сообщения
4,058
Реакции
55


Компания Trend Micro, специализирующаяся в области кибербезопасности , подтвердила, что злоумышленники использовали уязвимость на сервере Oracle WebLogic для установки вредоносного ПО monero ( XMR ), в то же время используя файлы сертификатов в качестве способа обфускации. Новость была раскрыта в блоге Trend Micro, опубликованном 10 июня.
Как сообщалось ранее, формы скрытности добычи крипто также называют с отраслевым термином cryptojacking - практика установки вредоносного ПО, которое использует вычислительные мощности компьютера , чтобы добывать криптовалюту без согласия или ведома владельца.
Согласно сообщению Trend Micro, исправление безопасности для уязвимости Oracle WebLogic («CVE-2019-2725»), которое, как сообщается, вызвано ошибкой десериализации, было выпущено в национальной базе данных уязвимостей ранее этой весной.
Однако Trend Micro ссылается на сообщения, появившиеся на форуме SANS ISC InfoSec, в которых утверждается, что эта уязвимость уже использовалась в целях криптографии, и подтверждает, что она проверила и проанализировала утверждения.
Фирма отмечает, что выявленные атаки развернули то, что она описывает как «интересный поворот», а именно, что «вредоносная программа скрывает свои вредоносные коды в файлах сертификатов в качестве тактики обфускации»:
«Идея использования файлов сертификатов для сокрытия вредоносных программ не нова [...] Используя файлы сертификатов в целях запутывания, часть вредоносного ПО может избежать обнаружения, поскольку загруженный файл имеет формат файла сертификата, который рассматривается как нормально - особенно при установлении HTTPS-соединений ».
Анализ Trend Micro начинается с того, что вредоносная программа использует CVE-2019-2725 для выполнения команды PowerShell, запрашивая загрузку файла сертификата с сервера управления и контроля.
После продолжения отслеживания его шагов и характеристик - включая установку полезной нагрузки майнера XMR - Micro Trend отмечает явную аномалию в своем текущем развертывании:
«Достаточно просто, после выполнения команды PS из декодированного файла сертификата, другие вредоносные файлы загружаются, не будучи скрытыми через формат файла сертификата, упомянутый ранее. Это может указывать на то, что метод обфускации в настоящее время тестируется на его эффективность, а его распространение на другие варианты вредоносного ПО будет установлено позднее ».
Завершается публикация рекомендацией фирмам, использующим WebLogic Server, обновить свое программное обеспечение до последней версии с помощью исправления безопасности, чтобы снизить риск криптографии.
Trend Micro этой весной обнаружил серьезный всплеск криптоджекинга XMR, нацеленного на

Пожалуйста Войдите или Зарегистрируйтесь для просмотра ссылок

системы, в ходе кампании, имитирующей более ранние действия, в которых использовался скрытый сценарий PowerShell для доставки вредоносного ПО для майнинга XMR.
 
Сверху