São Paulo — InkDesign News — A recente descoberta do malware DripDropper, revelado pela Red Canary, destaca um novo vetor de ataque no cenário de segurança cibernética, explorando uma vulnerabilidade na ActiveMQ e aplicando patches para impedir a ação de hackers rivais.
Incidente e vulnerabilidade
O DripDropper explora uma falha crítica, identificada como CVE-2023-46604, presente no software Apache ActiveMQ, um broker de mensagens amplamente utilizado. Apesar de já existir um patch disponível, muitas instâncias ainda permanecem vulneráveis, permitindo que atacantes ganhem acesso inicial.
Impacto e resposta
Com a exploração do ActiveMQ, os hackers implantam ferramentas, como o Sliver, que proporciona controle total do sistema comprometido. O DripDropper, um downloader que se conecta a uma conta do Dropbox controlada pelos atacantes, é difícil de analisar devido ao seu arquivo criptografado que exige senha para execução. “Mesmo que a vulnerabilidade crítica explorada no ActiveMQ tenha quase três anos, os adversários ainda a utilizam para executar cargas, resultando em uma probabilidade de 94,44% de exploração nos próximos 30 dias”, assinalou a equipe de pesquisa.
Mitigações recomendadas
A parte mais surpreendente do ataque é que, uma vez estabelecido o controle, os hackers baixam um patch legítimo para a vulnerabilidade que acabaram de explorar, bloqueando outras tentativas de intrusão. Isso evidencia a necessidade de estratégias de segurança em várias camadas. Recomenda-se que empresas realizem sempre verificações de vulnerabilidade, priorizando a aplicação de patches. Sugere-se também a utilização de plataformas como o catálogo de Vulnerabilidades Conhecidas da CISA (KEV) para orientar quais falhas corrigir primeiro.
“Se hackers estão fazendo seu patching mais rápido do que você, você não está fazendo certo!”
(“If hackers are doing your patching faster than you are, you aren’t doing it right!”)— Roger Grimes, Data-Driven Defense Evangelist, KnowBe4
Os riscos persistem mesmo após a aplicação de patches, uma vez que uma varredura de vulnerabilidades pode não garantir a segurança total do sistema. A abordagem deve ser proativa para garantir que os sistemas permaneçam protegidos contra essas ameaças emergentes.
Fonte: (Hack Read – Segurança Cibernética)
