Share on facebook
Share on google
Share on twitter
Share on linkedin

Hackers infiltram malware nos servidores da Oracle para minerar Monero

Hackers infiltram malware nos servidores da Oracle para minerar Monero

hack malware oracle

Pesquisadores da empresa de segurança Trend Micro identificaram um malware de mineração de criptomoeda sendo instalado em servidores de aplicativos corporativos. A primeira vítima foram os servidores da Oracle. 

Segundo publicação da empresa na segunda-feira (10), a causa da vulnerabilidade do Oracle WebLogic supostamente seria um erro de desserialização.

A Trend Micro identificou pela primeira vez a exploração em abril. Os primeiros relatórios sobre o malware surgiram nos Fóruns SANS ISC InfoSec na semana passada. 

 

Como o malware opera

Como o malware opera

O vírus está usando arquivos de certificado para não ser encontrado enquanto ataca servidores da Oracle WebLogic (CVE-2019-2725) para instalar um bot de mineração da criptomoeda Monero (XMR). 

O malware explora o Oracle WebLogic para executar um comando PowerShell, solicitando o download de um arquivo de certificado do servidor de comando e controle.  

Para permanecer escondido, o vírus é ofuscado nos arquivos de certificado, passando despercebido por firewalls e softwares antivírus. 

“A ideia de usar arquivos de certificado para ocultar malware não é nova [...] usando arquivos de certificado para fins de ofuscação, um malware pode evitar a detecção, pois o arquivo baixado está em um formato de arquivo de certificado que é visto como normal — especialmente ao estabelecer conexões HTTPS.”

Usando uma ferramenta de decodificação, o malware lê o certificado e altera seu nome e extensão para um arquivo de atualização. 

Depois que o arquivo é executado, o arquivo de certificado é excluído e outro script automatizado é baixado e executado — é ele quem vai baixar e executar o minério de criptomoeda. 

“Após a execução do comando PS a partir do arquivo de certificado decodificado, outros arquivos maliciosos são baixados sem serem ocultados através do formato de arquivo de certificado mencionado anteriormente. Isso pode indicar que o método de ofuscação está atualmente sendo testado quanto à sua eficácia, com a expansão para outras variantes de malware em uma data posterior.”

Embora não haja informações dizendo se os hackers conseguiram ganhar alguma criptomoeda com o ataque, a boa notícia é que a Oracle já lançou uma atualização que trata do vetor de ataque do malware.

Leia também: Golpistas promovem falso gerador de Bitcoin no Youtube para roubar informações de usuários

Curta o Criptonizando no Facebook, Instagram e Twitter e fique por dentro de tudo que acontece no Mercado Cripto.

Share on facebook
Share on google
Share on twitter
Share on linkedin

Receba as notícias mais importantes no seu email

Últimas Notícias

Mais Lidas