4 abr 2019

Malware escanea Internet buscando sistemas vulnerables

Así lo han descubierto investigadores de Alien Labs de AT&T, donde han analizado el malware descubierto en marzo y que han bautizado Xwo, cogiendo el nombre del módulo principal del malware. Los investigadores creen que este malware puede estar relacionado con el ransomware MongoLock y XBash, debido a que hay muchas similitudes en el código de los tres, escritos en Python.
Lo que hace es buscar credenciales y servicios desprotegidos para recopilar la información y enviarla a un servidor de control mediante una solicitud HTTP POST. Este tipo de comportamiento sigue el mismo patrón que los malware anteriormente mencionados, creando dominios que suplantan a webs reales de ciberseguridad y medios de comunicación, pasando a registrarlos bajo dominio .tk. Los investigadores no saben cómo se está expandiendo el malware ni cómo consigue acceso a ordenadores conectados a Internet.

Entre los servicios en los que busca credenciales por defecto se encuentran FTP, MySQL, PostgreSQL, MongoDB, Redis, Memcached, Tomcat, phpMyAdmin, VNC y RSYNC. Sin embargo, no hace nada más allá de identificar posibles objetivos y reportarlo al servidor de control. Lo más probable es que, a partir de ahí, los hackers encuentren puntos débiles para explotarlos en ataques más peligrosos con malware diferente.

Así, este malware es básicamente el componente de otro malware que podría ser aún más peligroso, pero que evita ser tan dañino en un comienzo. La existencia de Xwo no quiere decir que hayan dejado de lado la creación de otro malware como ransomware, sino que están buscando nuevas vías para desplegar su ciberarsenal.

A partir de este informe, no está claro si Xwo se relaciona con el grupo conocido como Iron Group, o si han reutilizado el código público. Según nuestra investigación hasta la fecha, puede existir una relación potencial entre Iron Cybercrime Group y Rocke.

CloudFlare, por su parte, ha cerrado los servidores C2 que usaba el malware para enviar información, pero es muy probable que los atacantes vuelvan a lanzar nuevas oleadas de ataques a través de nuevos servidores maliciosos.

Fuente: Alienvault
a las

No hay comentarios.:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!