Το νέο ισχυρό malware κρυπτογράφησης και DDoS, “Lucifer”, εκμεταλλεύεται σοβαρές ευπάθειες για να μολύνει υπολογιστές Windows. Σύμφωνα με το Unit 42 της Palo Alto Networks, το Lucifer είναι μέρος μιας ενεργής εκστρατείας που έχει ως στόχο κεντρικούς υπολογιστές Windows και χρησιμοποιεί μια ποικιλία εκμεταλλεύσεων. Οι χειριστές του malware έδωσαν στο δημιούργημά τους την ονομασία “Satan DDoS”. Επειδή όμως το Satan Ransomware υπάρχει κι αλλού, η Palo Alto του έδωσε μία άλλη ονομασία.
Σε μια blog ανάρτηση, οι ερευνητές Ken Hsu, Durgesh Sangvikar, Zhibin Zhang και Chris Navarrete ανέφεραν ότι η τελευταία παραλλαγή του Lucifer, v.2, ανακαλύφθηκε στις 29 Μαΐου, σε μία προσπάθεια εκμετάλλευσης του CVE-2019-9081, ενός deserialization bug στο Laravel Framework, το οποίο μπορεί να χρησιμοποιηθεί σε επιθέσεις απομακρυσμένης εκτέλεσης κώδικα. Μετά από μία πιο αναλυτική εξέταση αποδείχθηκε ότι πρόκειται για μία ευπάθεια από τις πολλές που εκμεταλλεύεται το malware παράλληλα με τις CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, ThinkPHP RCE ευπάθειες (CVE-2018-20062), CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, CVE-2017-0144, CVE-2017-0145 και CVE-2017-8464, μεταξύ άλλων.
Οι ενημερωμένες εκδόσεις κώδικα είναι διαθέσιμες για όλα τα σφάλματα ασφαλείας, αλλά σε κεντρικούς υπολογιστές που δεν έχουν ενημερωθεί, οι επιθέσεις που εκμεταλλεύονται αυτά τα σφάλματα είναι συχνά ασήμαντες για εκμετάλλευση και η εκτέλεση κώδικα για την εξόρυξη κρυπτονομισμάτων είναι ένας από τους τελικούς στόχους. Το Lucifer θεωρείται ένα ισχυρό υβριδικό malware, το οποίο έχει τη δυνατότητα να κρυπτογραφεί και να εκμεταλλεύεται μολυσμένους υπολογιστές για να εκτελεί DDoS επιθέσεις. Επιπλέον, το malware αναζητεί ανοιχτές θύρες TCP 135 (RPC) και 1433 (MSSQL) για να βρει στόχους και εκτελεί επιθέσεις με credentials για να αποκτήσει πρόσβαση. Μπορεί να μολύνει τους στόχους του μέσω IPC, WMI, SMB και FTP μέσω brute-force επιθέσεων, καθώς και μέσω MSSQL, RPC και κοινής χρήσης δικτύου. Μόλις εγκατασταθεί το Lucifer σε μία μολυσμένη συσκευή, “ρίχνει” το XMRig, ένα πρόγραμμα που χρησιμοποιείται για την εξόρυξη κρυπτονομίσματος Monero (XMR). Συνδέεται επίσης με έναν command-and-control (C2) server για να λάβει εντολές, να μεταφέρει δεδομένα από το παραβιασμένο σύστημα και να ενημερώσει τους χειριστές του σχετικά με την κατάσταση του miner του κρυπτονομίσματος Monero. Για να εξαπλωθεί το Lucifer, χρησιμοποιεί διάφορες ευπάθειες και brute-force επιθέσεις, προσπαθώντας να θέσει σε κίνδυνο περισσότερους κεντρικούς υπολογιστές Windows που συνδέονται με το αρχικό σημείο μόλυνσης. Το malware παραβιάζει και το μητρώο των Windows για να προγραμματιστεί ως εργασία κατά την εκκίνηση. Προσπαθεί επίσης να αποφύγει την ανίχνευση, ελέγχοντας την παρουσία sandbox ή εικονικών μηχανών.
Το πρώτο κύμα επιθέσεων που χρησιμοποιούσαν το Lucifer v.1 εντοπίστηκε στις 10 Ιουνίου. Μια μέρα αργότερα, το malware αναβαθμίστηκε στην έκδοση 2, γεγονός που ήταν διαίτερα καταστροφικό για τις συσκευές που είχαν στοχοποιηθεί. Οι ερευνητές συνιστούν στους χρήστες να εφαρμόζουν τα απαιτούμενα patches και updates στο λογισμικό που επηρεάζεται.
![Pinterest](https://pinterest.com/pin/create/button/?url=https://www.secnews.gr/247730/lucifer-isxyro-malware-pou-stoxevei-ypologistes-windows/&media=https://cdn.secnews.gr/cb:90j0~424ea/w:auto/h:auto/q:mauto/ig:avif/f:best/id:420665523a3ecb4894c46e868b20c136/https://www.secnews.gr/Lucifer-malware.jpg&description=Το νέο ισχυρό malware κρυπτογράφησης και DDoS, "Lucifer", εκμεταλλεύεται σοβαρές ευπάθειες για να μολύνει υπολογιστές Windows.){kind=link}