Los hackers están aprovechando una vulnerabilidad de IIS 6.0 para hacerse cargo de los servidores de Windows e instalar una cepa de malware que explota la criptomoneda Electroneum.
Los ataques no están muy extendidos, ya que se dirigen a una versión bastante antigua de IIS, pero están sucediendo a gran escala.
Los hackers usan el antiguo día cero de IIS 6.0
Los hackers están utilizando CVE-2017-7269 para hacerse cargo de los servidores. Esta es una vulnerabilidad descubierta por dos investigadores chinos en marzo de 2017 que afecta el servicio WebDAV de IIS. En el momento en que se descubrió el año pasado, la falla fue de día cero, estando bajo una gran explotación durante casi nueve meses, desde junio de 2016.
Inicialmente, Microsoft dijo que no estaba planeando reparar el error porque IIS 6.0 estaba al final de su vida útil, al igual que los sistemas operativos que se distribuían con IIS 6.0 de forma predeterminada, Windows XP y Windows Server 2003.
Pero la vulnerabilidad compartía algunos rasgos comunes con el exploit EXPLODINGCAN NSA filtrado en abril de 2017 por Shadow Brokers, y finalmente recibió una solución a mediados de junio de 2017.
Desde entonces, ha sido utilizado por al menos un actor de amenazas para implementar mineros de Monero en servidores de Windows que todavía ejecutan la versión anterior de IIS 6.0.
Hackers usan CVE-2017-7269 para instalar Electroneum miner
Ahora, F5 Labs dice que encontró otro grupo de hackers que usaba el mismo exploit, pero que desplegaba un minero Electroneum en lugar de Monero.
Según los expertos, el actor de amenazas usa CVE-2017-7269 para entregar un Shellcode ASCII que contiene una cadena de exploits de Programación Orientada al Retorno (ROP) que instala un shell inverso en hosts vulnerables.
Los atacantes luego usan el shell inverso para descargar el minero y comenzar el proceso de minería. El proceso de infección se enmascara con el uso de la técnica Squiblydoo y al disfrazar al minero como el proceso legítimo de lsass.exe (Servicio de Subsistema de la Autoridad de Seguridad Local).
Los expertos de F5 dijeron que la dirección de Electroneum que encontraron en los ataques almacenó solo 99 dolares, lo que sugiere que o bien captaron la campaña desde el principio, o los delincuentes rotan las identificaciones de direcciones para evitar que los investigadores rastreen toda su operación.
Tampoco son los primeros ladrones en extraer Electroneum en lugar de Monero, la criptomoneda de elección para todas las campañas de minería ilegal recientes. La campaña de malware de Dofoil también usó Electroneum, al igual que otra campaña de coinminer que utilizó la utilidad legítima de CertUtil Windows para descargar el malware de minería en los sistemas de los usuarios.
Fecha actualización el 2021-04-16. Fecha publicación el 2018-04-16. Categoría: microsoft. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer