Um recente malware está a afetar utilizadores do SO Windows. Ele foi detetado pela TrendMicro como “Trojan.PS1.LUDICROUZ.A”.
O minerador usa vários métodos de propagação para infeção, incluindo o EternalBlue, técnicas de abuso de Powershell, pass-the-hash techniques, LOTL techniques (baseado em ferramentas do Windows) e ataques de brute-force como meio para “droppar” um minerador da criptomoeda Monero.
De acordo com a telemetria da Trend Micro, os agentes de ameaça por trás da campanha estão a expandir a botnet para países como Austrália, Taiwan, Vietnã, Hong Kong e Índia.
A principal ténica utilizada de propagação envolve o uso de credenciais fracas para obter acesso ao computador alvo ligado à mesma rede e agenda uma tarefa no SO para executar o malware.
The primary malware propagation involves using the weak credentials to gain access to the computer that connected with the same network. It uses a firewall and port forwarding settings to schedule a task and to execute the malware.
Em seguida, o malware usa o método passes the hash para obter os hashes das passwords no sistema operativo através do comando “Get-PassHashes”. Uma vez que ele recolhe essas hashes ele invoca o método “Invoke-SMBClient” como forma de partilhar o ficheiro.
“Once a machine is infected via one of the methods, the malware acquires the MAC address and collects information on the anti-virus products installed in the machine. It downloads another obfuscated PowerShell script from the C&C server,” reads TrendMicro report.
O terceiro componente é o spyware, que captura as seguintes informações da máquina infectada:
- Computer Name
- Machine’s GUID
- MAC Address
- OS Version
- Graphics Memory Information
- System Time
O quarto componente é o executável binário compilado em Python, que propaga ainda mais o malware. Aqui são exploradas via brute-force a força das palavras-passe SQL, e também valida se a máquina está vulnerável ao EternalBlue.
O quinto passo é descarregar o minerador da Monero que é implantado no sistema através de um processo no Powershell, e que uma vez instalado começa a comunicar com o C2.
The malware “leverages weak passwords in computer systems and databases, targets legacy software that companies may still be using, uses PowerShell-based scripts with components downloaded and executed in memory, exploits unpatched vulnerabilities, and installs using the Windows startup folder and the task scheduler.”
Mais detalhe sobre a investigação aqui.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.