Os cibercriminosos atacar servidores Jira e Exim vulneráveis, a fim de infectá-los com a nova versão do Linux-Trojan Watchbog e Monero mineração criptomoeda.
Watchbog é um software malicioso para infectar servidores baseados em Linux por software vulnerável, funcionando, tal como Jenkins, Gerente Repository Nexus 3, ThinkPHP ou Linux Supervisord.De acordo com um pesquisador da Intezer Labs, a última versão do malware exploits a vulnerabilidade de injeção modelo recém-descoberto (injeção de modelo) Em Jira (CVE-2019-11581), que permite a execução remota de código.
O malware também explora uma RCE vulnerabilidade no Exim (CVE-2019-10149), que permite que atacantes para executar comandos com permissões de root.
De acordo com Shodan Procurar, existem atualmente mais de 1,610,000 servidores Exim vulneráveis na rede, bem como sobre 54,000 servidores Atlassian Jira vulneráveis.
“O fato de que o modelo de vulnerabilidade de injeção Jira-2019-11581 CVE estes atacantes estão alvejando foi divulgada publicamente apenas 12 dias atrás permanece como prova para a velocidade com que os atores de ameaças estão começando a abusar novas falhas de segurança”, - concluir jornalistas BleepingComputer.
Tendo explorado as vulnerabilidades, Watchbog carrega um cripto-mineiro para extrair moeda Monero e toma medidas para manter sua presença no sistema. Em particular, acrescenta-se a vários arquivos crontab para reinfectar o sistema se o usuário exclui um desses arquivos.
moeda extraído é enviado ao:
47k2wdnyyBoMT6N9ho5Y7uQg1J6gPsTboKP6JXfB5msf3jUUvTfEceK5U7KLnWir5VZPKgUVxpkXnJLmijau3VZ8D2zsyL7
Durante a campanha, atacantes conseguiram 53 XMR (aproximadamente $4503).
Uma das características distintivas desta campanha é que o malware deixa uma mensagem para suas vítimas, segundo a qual o motivo dos intrusos é “segurança na Internet”.
O que o torna altamente perigoso é que esta variante não é detectado por qualquer um dos mecanismos de varredura no VirusTotal.
Mas, de acordo com os operadores Watchbog, o malware é destinado apenas para criptomoeda mineração, e eles não têm intenção de alterar os dados armazenados nos servidores ou exigir um resgate.
