Key4biz

Lucifer, il malware ibrido accresce le proprie funzionalità. Come difendersi

Lucifer un potente malware ibrido in grado di eseguire il cryptojacking e di sfruttare le macchine infette per eseguire attacchi DDoS (Distributed Denial-of-Service) si è ulteriormente evoluto divenendo un malware multipiattaforma e multi architettura rivolto non solo ai sistemi Windows (con capacità di auto diffusione) ma anche a Linux e ai dispositivi IoT. 

Il criptominer che si auto propaga

Dopo il primo rilevamento fatto alla fine di maggio, quando i ricercatori della unità 42 di Palo Alto Network stavano investigando su un exploit che prendeva di mira una vulnerabilità specifica nel frameworkLavarel (che può essere utilizzata in modo improprio per condurre attacchi di esecuzione di codice in modalità remota RCE), a giugno Lucifer  ripresentandosi in due nuove varianti ha mostrato, inequivocabilmente, la sua estrema versatilità e pericolosità.

Nello specifico in queste due versioni, pressoché identiche (una variante ha come capacità aggiuntive una feature anti-sanbox e la possibilità, attraverso il riconoscimento di alcuni driver e DLL, di terminare il suo stesso processo), Lucifer sfruttando molteplici vulnerabilità, classificate come critiche e ad alto impatto, riesce a:

Numerose, inoltre, le vulnerabilità che riguardano un elevato numero di software che ne aumentano ancora di più l’efficacia.

Queste includono Rejetto HTTP File Server ( CVE-2014-6287 ), Oracle Weblogic ( CVE-2017-10271 ), ThinkPHP RCE ( CVE-2018-20062 ), Apache Struts ( CVE-2017-9791 ), Laravel framework   (CVE-2019-9081 ) e Microsoft Windows ( CVE-2017-0144 ,  CVE-2017-0145 e  CVE-2017-8464).

L’ultima variante

Secondo quanto emerge dall’ultimo rapporto Chek Point Research una ulteriore variante, scoperta in una campagna in atto, avrebbe colpito oltre 25 organizzazioni nell’ambito dei settori manifatturiero, legale, assicurativo e bancario, migliorando capacità e strategie di monetizzazione, con attacchi provenienti da server preventivamente compromessi, secondo una catena di infezioni che non prende di mira solo i dispositivi Windows (come accaduto in precedenza) ma anche i sistemi Linux e IoT.

Sebbene, anche in questa nuova veste, Lucifer riesca a delegare solo le macchine Windows infette per continuare la diffusione sia all’interno della rete che verso obiettivi remoti secondo le modalità ben collaudate, l’aver allargato il raggio di azione coinvolgendo anche sistemi Linux e IoT e migliorando le funzionalità preesistenti,  indica comunque che gli attaccanti stanno cercando di estendere la loro superfice d’attacco e potenzialità.

Interessanti le ulteriori evidenze rilevate dall’ultima ricerca Check Point:

Come difendersi

La campagna in continua evoluzione, come commentato dai ricercatori, riesce ad avere successo e a diffondersi soprattutto perché non tutti i sistemi vengono spesso aggiornati.

È consigliabile pertanto applicare aggiornamenti e patch a tutti i software interessati, proteggersi dagli attacchi brute force e valutare l’implementazione degli indicatori di compromissione pubblicati.

Non si possono escludere, in futuro, da parte degli sviluppatori di Lucifer, implementazioni di estensioni extra atte ad accrescerne l’efficacia, come ad esempio la capacità di auto diffusione, già prevista in Windows, anche per le versioni Linux (x86/x64, ARM e MIPS).

Exit mobile version