La empresa de ciberseguridad Trend Micro ha confirmado que los atacantes han estado explotando una vulnerabilidad en el servidor Oracle WebLogic para instalar malware de minería de monero (XMR), al tiempo que utilizan archivos de certificados como truco de ofuscación. La noticia fue revelada en una entrada del blog de Trend Micro publicada el 10 de junio.
Como se informó anteriormente, también se hace referencia a las formas de criptominería oculta con el término de la industria criptojacking - la práctica de instalar malware que utiliza la capacidad de procesamiento de un ordenador para minar criptomonedas sin el consentimiento o conocimiento del propietario.
Según el post de Trend Micro, un parche de seguridad para la vulnerabilidad Oracle WebLogic ("CVE-2019-2725"), supuestamente causada por un error de deserialización, se publicó en la base de datos nacional de vulnerabilidades a principios de esta primavera.
Sin embargo, Trend Micro cita informes que surgieron sobre el foro SANS ISC InfoSec alegando que la vulnerabilidad ya ha sido explotada con fines de piratería informática, y confirma que ha verificado y analizado las alegaciones.
La empresa señala que los ataques identificados desplegaron lo que describe como "un giro interesante", es decir, que "el malware oculta sus códigos maliciosos en los archivos de certificados como una táctica de ofuscación":
"La idea de utilizar archivos de certificado para ocultar malware no es nueva [...] Al utilizar archivos de certificado con fines de ofuscación, un trozo de malware puede evadir la detección, ya que el archivo descargado se encuentra en un formato de archivo de certificado que se considera normal, especialmente cuando se establecen conexiones HTTPS".
El análisis de Trend Micro comienza observando que el malware explota CVE-2019-2725 para ejecutar un comando de PowerShell, lo que provoca la descarga de un archivo de certificado desde el servidor de comando y control.
Después de continuar trazando sus pasos y características - incluyendo la instalación de la carga útil del minero de XMR - Micro Trend observa una aparente anomalía en su implementación actual:
"De forma bastante simple, al ejecutar el comando PS desde el archivo de certificado decodificado, se descargan otros archivos maliciosos sin ser ocultados a través del formato de archivo de certificado mencionado anteriormente. Esto podría indicar que el método de ofuscación se está probando actualmente para determinar su eficacia, y que su expansión a otras variantes de malware se realizará en una fecha posterior".
El mensaje concluye con una recomendación a las empresas que utilizan WebLogic Server para que actualicen su software a la última versión con el parche de seguridad con el fin de mitigar el riesgo de criptojacking.
Como se informó recientemente, Trend Micro detectó un aumento importante en el criptojacking de XMR a los sistemas con sede en China en esta primavera, en una campaña que imitaba actividades anteriores que habían utilizado un script PowerShell ofuscado para entregar malware para la minería de XMR.
Sigue leyendo:
Firefox Quantum ofrece la función anti-criptojacking