Los expertos de Palo Alto Networks han preparado un informe sobre el malware Lucifer, que utiliza muchos exploits y, según los expertos, «causa estragos» en hosts de Windows. Cabe señalar que los propios autores del malware llamaron a su creación Satan DDoS., pero los expertos en seguridad de la información lo llaman Lucifer para distinguirlo del criptógrafo de Satán..
La botnet Lucifer atrajo la atención de los investigadores tras numerosos incidentes relacionados con la explotación de la vulnerabilidad crítica CVE-2019-9081 en el framework Laravel., lo que podría conducir a la ejecución remota de código arbitrario.
Versión del malware que utiliza CVE-2019-9081, fue visto en mayo 29, 2020, después de lo cual la campaña se detuvo en junio 10 y se reanudó después de unos días, pero con una versión actualizada del malware.
“Si inicialmente se creía que el malware era bastante simple y estaba diseñado para extraer criptomonedas (Monero), Ahora ha quedado claro que Lucifer también tiene un componente DDoS y un mecanismo de autodistribución., construido sobre una serie de vulnerabilidades graves y fuerza bruta”, – dicen los expertos.
Para distribución en la red., Lucifer utiliza hazañas tan conocidas como EternoAzul, Romance Eterno y DoblePulsar, robado de servicios especiales y en 2017 publicado en el dominio público por The Shadow Brokers. Pero los atacantes no se limitan sólo a este error., entonces la lista de exploits puestos en servicio por Lucifer es la siguiente:
- CVE-2014-6287
- CVE-2018-1000861
- CVE-2017-10271
- CVE-2018-20062 (Vulnerabilidad RCE en ThinkPHP)
- CVE-2018-7600
- CVE-2017-9791
- CVE-2019-9081
- Puerta trasera RCE en PHPStudy
- CVE-2017-0144
- CVE-2017-0145
- CVE-2017-8464
Vale la pena señalar que todas estas vulnerabilidades ya han sido solucionadas., y hay parches disponibles para ellos.
“Después de usar exploits, un atacante puede ejecutar comandos arbitrarios en un dispositivo vulnerable. Teniendo en cuenta que los atacantes utilizan el utilidad certutil en la carga útil para distribuir el malware, en este caso, los objetivos son tanto hosts de Windows en Internet como en la intranet”, — escriben los investigadores.
Lucifer también puede escanear máquinas con TCP abierto 135 (RPC) y 1433 (MSSQL) puertos y comprobar si ciertas combinaciones de nombres de usuario y contraseñas son adecuadas para ellos. Para ataques de fuerza bruta, el malware utiliza un diccionario con 300 contraseñas y siete nombres de usuario: en, en, son, kisadmin, Depurador SQL, mssql y chred1433.
"El malware puede infectar dispositivos mediante IPC, WMI, SMB y FTP, usando fuerza bruta, además de usar MSSQL, RPC y uso compartido de redes”,- dicen los investigadores.
Habiendo infectado el sistema, Lucifer coloca su copia allí usando el comando Shell., y también instala XMRig para la minería secreta de la criptomoneda Monero (XMR). A juzgar por el hecho de que actualmente los delincuentes sólo ganan 0.493527 XMR (acerca de $30 al tipo de cambio actual), Los expertos creen que la campaña maliciosa apenas comienza..
También, ganando terreno en el sistema, Lucifer se conecta al servidor de administración para recibir comandos, por ejemplo, lanzar un ataque DDoS, transferir datos del sistema robados o informar a sus operadores sobre el estado del minero.
Una versión más nueva de malware también viene con protección de análisis y verifica el nombre de usuario y la máquina infectada antes de atacar.. Si Lucifer descubre que se está ejecutando en un entorno analítico, cesa toda actividad.
Recordemos también que según las observaciones de expertos en seguridad de la información., Evil Corp regresa a la actividad criminal con el ransomware WastedLocker.
