Uma vulnerabilidade agora corrigida no VMware Workspace ONE Access estava sendo explorada para implementação de mineradores de criptomoedas e ransomware nas máquinas afetadas.
“O invasor pretende utilizar os recursos da vítima o máximo possível, não apenas para instalar o RAR1Ransom para extorsão, mas também para espalhar o GuardMiner para coletar criptomoedas“, disse Cara Lin, pesquisadora do Fortinet FortiGuard Labs, em relatório.
Leia mais:
- Crimes digitais se tornam mais sofisticados e empresas precisam se preparar
- Ataques cibernéticos são causados por meio de aparelhos caseiros e softwares de trabalho
- Dia Mundial da Criptografia: “Enfraquecimento” da criptografia coloca consumidores em risco, alertam empresas de tecnologia
O problema, rastreado como CVE-2022-22954, diz respeito a vulnerabilidade de execução remota de código que decorre de caso de injeção de template do lado do servidor. Embora a deficiência tenha sido abordada pelo provedor de serviços de virtualização em abril de 2022, desde então ela está sob exploração ativa.
A Fortinet disse que observou em agosto de 2022 ataques que buscavam armar a falha para implantar o botnet Mirai em dispositivos Linux, bem como o RAR1Ransom e o GuardMiner, uma variante do minerador XMRig Monero.
O Mirai foi projetado para iniciar ataques de negação de serviço (DoS) e de força bruta destinados a dispositivos IoT conhecidos usando lista de credenciais padrão.
A distribuição do RAR1Ransom e do GuardMiner, por outro lado, é feita por meio de um PowerShell ou de um shell script, dependendo do sistema operacional. O RAR1ransom também é notável por aproveitar o WinRAR legítimo para bloquear arquivos em arquivos protegidos por senha.
Além disso, o GuardMiner vem com recursos para se propagar para outros hosts, aproveitando as explorações para várias falhas de execução remota de código em outros softwares, incluindo os do Apache Struts, Atlassian Confluence e Spring Cloud Gateway.
As descobertas são mais um lembrete de que as campanhas de malware continuam explorando ativamente falhas divulgadas recentemente para invadir sistemas não corrigidos, tornando essencial que os usuários priorizem a aplicação de atualizações de segurança necessárias para mitigar essas ameaças.
Via The Hacker News
Imagem destacada: Gorodenkoff/Shutterstock
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
Tags: