La nueva campaña de malware llamada Operación Prowli infecta la cantidad de industrias tales como finanzas educación y gobierno
El malware Prowli ha comprometido a más de 40000 máquinas y 9000 compañías en todo el mundo.
El malware de Prowli usa varias técnicas de ataque como fuerza bruta, exploits y configuraciones débiles. Se dirige a servidores de alojamiento CMS, servidores de respaldo, HP Data Protector, módems DSL y dispositivos IoT.
Los investigadores de seguridad de Guardicore descubrieron la operación de malware, utiliza técnicas silenciosas comunes para la monetización de la criptomoneda minera y redirige a los usuarios a sitios maliciosos.
Infección Prowli Malware
Los ciberdelincuentes detrás de Prowli pusieron en peligro una gran cantidad de direcciones IP y dominios que ejecutan diferentes servicios expuestos a Internet.
La operación Prowli se dirigió a una serie de organizaciones, independientemente de su tamaño y distribución. Se comprometieron diferentes servicios que son vulnerables a los ataques remotos de autenticación previa o fuerza bruta.
Servicios dirigidos
- Sitios web de Drupal CMS: sitios de fuerza bruta de WordPress
- Módems DSL de fuerza bruta, fuerza bruta
- Joomla, servidores CVE-2018-7482
- Con puerto SSH abierto, fuerza bruta
- Dispositivos IoT vulnerables,
- Servidores de fuerza bruta que exponen el software HP Data Protector. puerto 5555 - servidores CVE-2014-2623
- Con puertos SMB expuestos -
- instalaciones de PhpMyAdmin de fuerza bruta
Métodos de monetización
Guardicore dice que los atacantes los atacantes se enfocaron principalmente en ganar dinero y que han empleado dos métodos de ingresos comunes.
strong>Minería de criptomonedas Monetización de tráfico
Una vez que tienen los servidores comprometidos, la operación Prowli de los atacantes infecta el servidor o el dispositivo IoT con Monero miner y con el gusano r2r2 autopropagado que inicia sesión en SSH con fuerza bruta.
El grupo Prowli vende tráfico a través de roi777, que paga el tráfico enviado a través de ellos. Los atacantes utilizaron webshells "WSO Web Shell" para alojar secuencias de comandos maliciosas en el sitio web y redirigir el tráfico legítimo del sitio web a sitios de estafa.
Guardicore publicó un informe detallado junto con Indicators of Compromise y otros detalles.
La operación se dirigió a múltiples vulnerabilidades y fuerza bruta, para evitar que este servidor de ataques se repare contra las vulnerabilidades conocidas y debería usar credenciales fuertes.
Fecha actualización el 2021-06-07. Fecha publicación el 2018-06-07. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: gbhackers