Novo malware deseja adicionar seus servidores Linux a botnet

Novo malware deseja adicionar seus servidores Linux a botnet
Imagem: Juniper Threat Labs.

Um novo malware tem como alvo servidores Linux e dispositivos da Internet das Coisas (IoT). Descoberto por pesquisadores do Juniper Threat Labs, o worm foi apelidado de Gitpaste-12, refletindo sobre como ele usa GitHub e Pastebin para abrigar código e tem 12 meios diferentes de comprometer servidores x86 baseados em Linux, bem como Linux ARM e dispositivos IoT baseados em MIPS.

Isso inclui: roteadores Asus, Huawei e Netlink, assim como MongoDB e Apache Struts; bem como a capacidade de comprometer sistemas usando ataques de força bruta para quebrar nomes de usuário e senhas padrão ou comuns.

Novo malware deseja adicionar seus servidores Linux a botnet

Depois de usar uma dessas vulnerabilidades para comprometer o sistema, o Gitpaste-12 baixa scripts do Pastebin para fornecer comandos. O malware visa desligar as defesas, incluindo firewalls e software de monitoramento.

Novo malware deseja adicionar seus servidores Linux a botnet
Um novo malware tem como alvo servidores Linux e dispositivos da Internet das Coisas (IoT).

O malware atualmente tem a capacidade de minerar criptomoeda, o que significa que os invasores podem abusar do poder de computação de qualquer sistema comprometido para minerar a criptomoeda Monero.

O botnet também tem a capacidade de usar máquinas comprometidas para lançar scripts contra outros dispositivos vulneráveis na mesma rede em um esforço para replicar e espalhar o malware.

Os pesquisadores escreveram:

Não é bom ter malware, mas worms são particularmente irritantes. Sua capacidade de se espalhar de forma automatizada pode levar à disseminação dentro de uma organização ou à tentativa de seus hosts de infectar outras redes na internet.

Os URLs do Pastebin e do GitHub foram ambos fechados após serem relatados por pesquisadores, o que deve impedir a proliferação por enquanto. No entanto, os pesquisadores também observaram que o Gitpaste-12 está em desenvolvimento contínuo, o que significa que existe o risco de que ele retorne.

No entanto, é possível ajudar na proteção aplicando os patches de segurança que fecham as vulnerabilidades conhecidas que ele explora.

ZDNET

EUA compartilham informações sobre malware russo direcionado a parlamentos e embaixadas

Malware GravityRAT agora também tem como alvo Android e macOS

Gangues de malware adoram ferramentas de hacking de código aberto