São Paulo — InkDesign News — Uma investigação recente da VulnCheck revelou uma campanha de criptomineradora que operava de maneira discreta desde 2021, explorando sistemas vulneráveis por meio de websites legítimos comprometidos, utilizando a vulnerabilidade CVE-2021-41773.
Incidente e vulnerabilidade
Os analistas da VulnCheck identificaram tentativas de exploração associadas ao endereço IP 103.193.177.152, utilizando um script simples denominado linux.sh que baixava um arquivo de configuração e o binário Linuxsys de uma lista de cinco sites comprometidos. As vulnerabilidades exploradas, especialmente a CVE-2021-41773, já são conhecidas, mas a abordagem do atacante se destacou por optar por sites com certificados SSL válidos, permitindo a distribuição do malware sem levantar suspeitas. Estas manobras dificultam a detecção e tornam as operações mais eficazes.
Impacto e resposta
A campanha de mineração, apesar de não gerar receitas extremamente altas, lucra em média 0,024 XMR por dia, refletindo um foco em operações sustentadas, e possivelmente em atividades de mineração maiores não detectadas até o momento. Além disso, foram encontrados dois executáveis do Windows nas mesmas hosts, sugerindo que a operação pode englobar um escopo mais amplo que o previamente identificado. VulnCheck liberou regras para Suricata e Snort, a fim de detectar tentativas de exploração para todas as CVEs conhecidas associadas.
Mitigações recomendadas
As organizações são aconselhadas a aplicar patches disponíveis para as vulnerabilidades identificadas, além de implementar boas práticas de segurança cibernética. Isso inclui a verificação regular de sistemas, a utilização de soluções de segurança que possam identificar atividade suspeita, e a adoção de processos de detecção de tráfego DNS e HTTP associados aos scripts de downloader e de payload inicial. “É crucial que os times de segurança estejam atentos a esses novos vetores de ataque e implementem medidas proativas de defesa.”
(“It is crucial that security teams stay alert to these new attack vectors and implement proactive defense measures.”)— Analista, VulnCheck
Riscos residuais persistem devido à natureza adaptativa dos ataques cibernéticos. As organizações devem estar atentas à vigilância contínua e melhorias em suas defesas cibernéticas, visto que a sofisticada execução desta campanha ilustra a necessidade de vigilância constante no ambiente digital.
Fonte: (Hack Read – Segurança Cibernética)
