Pesquisadores da empresa de segurança Trend Micro identificaram um malware de mineração de criptomoeda sendo instalado em servidores de aplicativos corporativos. A primeira vítima foram os servidores da Oracle.
Segundo publicação da empresa na segunda-feira (10), a causa da vulnerabilidade do Oracle WebLogic supostamente seria um erro de desserialização.
A Trend Micro identificou pela primeira vez a exploração em abril. Os primeiros relatórios sobre o malware surgiram nos Fóruns SANS ISC InfoSec na semana passada.
Como o malware opera
O vírus está usando arquivos de certificado para não ser encontrado enquanto ataca servidores da Oracle WebLogic (CVE-2019-2725) para instalar um bot de mineração da criptomoeda Monero (XMR).
O malware explora o Oracle WebLogic para executar um comando PowerShell, solicitando o download de um arquivo de certificado do servidor de comando e controle.
Para permanecer escondido, o vírus é ofuscado nos arquivos de certificado, passando despercebido por firewalls e softwares antivírus.
“A ideia de usar arquivos de certificado para ocultar malware não é nova […] usando arquivos de certificado para fins de ofuscação, um malware pode evitar a detecção, pois o arquivo baixado está em um formato de arquivo de certificado que é visto como normal — especialmente ao estabelecer conexões HTTPS.”
Usando uma ferramenta de decodificação, o malware lê o certificado e altera seu nome e extensão para um arquivo de atualização.
Depois que o arquivo é executado, o arquivo de certificado é excluído e outro script automatizado é baixado e executado — é ele quem vai baixar e executar o minério de criptomoeda.
“Após a execução do comando PS a partir do arquivo de certificado decodificado, outros arquivos maliciosos são baixados sem serem ocultados através do formato de arquivo de certificado mencionado anteriormente. Isso pode indicar que o método de ofuscação está atualmente sendo testado quanto à sua eficácia, com a expansão para outras variantes de malware em uma data posterior.”
Embora não haja informações dizendo se os hackers conseguiram ganhar alguma criptomoeda com o ataque, a boa notícia é que a Oracle já lançou uma atualização que trata do vetor de ataque do malware.