Fermer

juin 11, 2019

Les pirates de crypto-monnaie introduisent des logiciels malveillants dans les serveurs Oracle pour exploiter Monero



Les chercheurs en matière de sécurité ont identifié un autre logiciel malveillant d’extraction de crypto-monnaie. Cette fois, il s’installe lui-même sur des serveurs d’applications d’entreprise et utilise une astuce astucieuse pour rester caché. Comme si cela ne suffisait pas, le logiciel malveillant a déjà fait sa première victime majeure: les serveurs Oracle.

Le logiciel malveillant tire parti d'une vulnérabilité et d'un exploit communs identifiés pour la première fois en avril de cette année par des chercheurs de la firme de cybersécurité Trend Micro . Il attaque les serveurs WebLogic d’Oracle pour installer un robot d’extraction de crypto-monnaie Monero.

Des rapports sur le premier programme malveillant apparu sur les forums SANS ISC InfoSec la semaine dernière. Les chercheurs de Trend Micro ont vérifié que cet exploit avait été utilisé pour chiffrer des serveurs non sécurisés Oracle.

Pour rester masqué, le code malveillant est masqué dans les fichiers de certificat. Cela aide le logiciel malveillant à ne pas être détecté par les pare-feu et les logiciels antivirus.

En bref, le logiciel malveillant exploite un exploit pour exécuter une commande automatisée et télécharger le fichier de certificat malveillant.

Un outil de décodage est utilisé pour lire le certificat et le modifier. son nom et son extension dans un fichier de mise à jour. Une fois le fichier de mise à jour exécuté, le fichier de certificat est supprimé et un autre script automatisé est téléchargé et exécuté.

Il s’agit de ce second script qui télécharge et exécute le mineur de crypto-monnaie.

L’utilisation de fichiers de certificat pour masquer les logiciels malveillants n’est pas nouvelle. technique, notes Trend Micro. Une autre société de sécurité, Sophos, a présenté une preuve de concept qui montrait comment les documents Excel avec des macros incorporées dans des fichiers de certificat pouvaient être utilisés pour échapper à la détection.

Les logiciels de sécurité sont considérés comme normaux. Selon des chercheurs,

Oracle a déjà publié une mise à jour qui prend en charge le vecteur d’attaque du logiciel malveillant. Il est difficile de savoir si les pirates ont réussi à gagner une crypto-monnaie grâce à l'attaque.

Il semble que les crypto-jackers aiment utiliser des techniques d'obfuscation pour glisser leur logiciel d'extraction de crypto-monnaie dans les machines des victimes.

a découvert qu'un site Web commercial imitant la crypto-monnaie avait été inséré pour introduire des malwares volés par la crypto-monnaie dans les ordinateurs des utilisateurs.

Publié le 11 juin 2019 – 10:22 UTC
                                




Source link