Il malware ProxyShellMiner sfrutta le vulnerabilità per il mining di criptovalute

In una nuova scoperta di malware chiamata ProxyShellMiner, il malware sfrutta le vulnerabilità di ProxyShell per installare miner di criptovalute in tutto il dominio Windows per generare profitto per gli attori della minaccia.

Per chi non lo sapesse, ProxyShell è una delle vulnerabilità di Exchange trovate e risolte da Microsoft nel 2021. Bene, le tre vulnerabilità sono combinate insieme; le vulnerabilità consentono l’esecuzione di codice remoto non autorizzata e permettono agli attori della minaccia di prendere il pieno controllo del server Exchange e di accedere ad altre parti del server aziendale.

Ora, gli attacchi sono stati individuati da Morphisec e gli attori della minaccia che abusano della vulnerabilità ProxyShell sono stati tracciati come CVE-2021-34523 per ottenere l’accesso iniziale alla rete dell’organizzazione.

Dopo di ciò, gli attaccanti distribuiscono un payload malware NET nella cartella NETLOGON del controller di dominio per assicurarsi che tutti i dispositivi sulla rete stiano eseguendo il malware.

Leggi: Nuova variante del Trojan Royal scoperta, prende di mira le macchine virtuali VMware ESXi

Affinché il malware si attivi, richiede un parametro della riga di comando che funge anche da password per il componente miner XMRig. ProxyShell utilizza una directory incorporata, un algoritmo di decrittazione XOR e una chiave XOR che viene scaricata da un server remoto, ha menzionato Morphisec.

Inoltre, utilizza un programma C# CSC.exe con parametri di compilazione “InMemory” per eseguire i successivi moduli di codice incorporati. Nella fase successiva, il malware scarica un file chiamato “DC_DLL” ed esegue la riflessione NET per estrarre l’argomento per il pianificatore di attività, XML e la chiave XMRig e poi il file DLL viene utilizzato per la decrittazione dei file aggiuntivi.

Leggi: Attori della minaccia russa prendono di mira le criptovalute con il malware Enigma

In aggiunta a questo, c’è un secondo downloader che stabilisce una connessione sul computer compromesso creando un’attività pianificata configurata all’accesso dell’utente. Il secondo downloader viene scaricato da una posizione remota insieme ad altri quattro file.

Dopo tutto questo, il file decide quali browser del computer iniettato verranno utilizzati per iniettare il miner nella memoria utilizzando un metodo noto come “process hollowing” e poi sceglie un pool casuale dall’elenco hardcoded, e il processo di mining inizia.

L’ultima cosa in questa catena di attacco è creare una regola del firewall che bloccherà tutto il traffico in uscita, che poi si applica a ogni firewall di Windows e il motivo dietro a questo è rendere i difensori meno propensi a rilevare il malware o ricevere notifiche riguardo a possibili iniezioni dal sistema compromesso.

Per sfuggire ai programmi di sicurezza che monitorano il comportamento di runtime del processo, il malware attende almeno 30 secondi dopo l’hollowing del browser prima di creare la regola del firewall; è abbastanza possibile che i miner comunichino con il loro strumento di mining attraverso una backdoor che non è monitorata dal programma di sicurezza.

Le aziende di sicurezza avvertono che l’effetto del malware va oltre la semplice interruzione dei servizi e il surriscaldamento delle macchine. Man mano che l’attore della minaccia guadagna il controllo nella rete, gli attaccanti possono fare qualsiasi cosa, dalla distribuzione della backdoor all’esecuzione di codice.

Leggi: W4SP Stealer trovato su PyPi Index, minacciando portafogli crypto e password del browser