CyberSécurité en entreprise : Lucifier, ce malware qui cible les systèmes Windows
Un nouveau logiciel malveillant diabolique cible les systèmes Windows avec des capacités de cryptojacking et de DDoS.
Les experts en sécurité ont identifié un logiciel malveillant qui se propage automatiquement, appelé Lucifer, qui cible les systèmes Windows avec des attaques de cryptojacking et de déni de service distribué (DDoS).
Ce malware inédit tente initialement d'infecter les PC en les bombardant d'exploits dans l'espoir de tirer parti d'une liste "exhaustive" de vulnérabilités non corrigées. Bien qu'il existe des correctifs pour tous les bogues critiques et très graves, les différentes entreprises touchées par le malware n'ont pas appliqué ces correctifs.
"Lucifer est un nouvel hybride de cryptojacking et de variante de logiciel malveillant DDoS qui exploite d'anciennes vulnérabilités pour se propager et réaliser des activités malveillantes sur les plateformes Windows", ont déclaré des chercheurs de l'équipe de l'unité 42 de Palo Alto Networks, mercredi dans un article de blog. "Il est fortement conseillé d'appliquer les mises à jour et les correctifs aux logiciels concernés".
Les vulnérabilités ciblées par Lucifer incluent le serveur de fichiers HTTP Rejetto (CVE-2014-6287), Oracle Weblogic (CVE-2017-10271), ThinkPHP RCE (CVE-2018-20062), Apache Struts (CVE-2017-9791), le framework Laravel (CVE-2019-9081), et Microsoft Windows (CVE-2017-0144, CVE-2017-0145, et CVE-2017-8464).
Comment ça marche ?
Après avoir exploité avec succès ces failles, l'attaquant se connecte ensuite au serveur de commande et de contrôle (C2) et exécute des commandes arbitraires sur le dispositif vulnérable, ont déclaré les chercheurs. Ces commandes comprennent l'exécution d'une attaque DoS TCP, UDP ou HTTP. D'autres commandes permettent au logiciel malveillant de lâcher un mineur XMRig et de lancer des attaques de cryptojacking, ainsi que de collecter des informations sur l'interface et d'envoyer le statut du mineur au C2. Les chercheurs affirment qu'en date de mercredi, le portefeuille XMR a payé 0,493527 XMR (environ 32 dollars).
Le logiciel malveillant est également capable de se propager par diverses méthodes.
Il recherche soit des instances ouvertes du port TCP 1433, soit le port 135 du Remote Procedure Call (RPC). Si l'un ou l'autre de ces ports est ouvert, le malware tente de forcer la connexion en utilisant un nom d'utilisateur administrateur par défaut et une liste de mots de passe intégrée (une liste complète des mots de passe utilisés peut être trouvée dans l'analyse de l'unité 42). Il copie et exécute ensuite le binaire du logiciel malveillant sur l'hôte distant après authentification réussie.
En plus de l'authentification par force brute, le malware exploite l'autoproduction. Si le protocole SMB (Server Message Block) (un protocole de partage de fichiers sur le réseau) est ouvert, Lucifer exécute plusieurs portes dérobées. Il s'agit notamment des exploits EternalBlue, EternalRomance et DoublePulsar.
Une fois que ces trois exploits ont été utilisés, l'utilitaire certutil est alors utilisé pour propager le malware. Certutil.exe est un programme en ligne de commande, installé dans le cadre des services de certification, qui peut être utilisé pour vider et afficher les informations de configuration des autorités de certification (CA), configurer les services de certification, sauvegarder et restaurer les composants des CA et vérifier les certificats.
Source : ThreatPost