Lucifer

Jenis baru cryptojacking yang kuat dan malware berbasis DDoS mengeksploitasi kerentanan parah untuk menginfeksi mesin Windows.

Dilansir dari ZDNet, malware yang disebut Lucifer ini adalah bagian dari kampanye aktif yang menyerang host Windows dan menggunakan berbagai weaponized exploits dalam gelombang serangan terbaru yang diungkapkan oleh Unit 42 Palo Alto Networks.

Dalam sebuah blog, peneliti Ken Hsu, Durgesh Sangvikar, Zhibin Zhang dan Chris Navarrete mengatakan bahwa varian terbaru Lucifer, v.2, ditemukan pada 29 Mei ketika menyelidiki eksploitasi CVE-2019-9081, bug deserialisasi pada Laravel Framework yang dapat disalahgunakan untuk melakukan serangan eksekusi kode jarak jauh (RCE). Setelah diteliti lebih lanjut, tampaknya ini hanyalah satu dari banyak kerentanan yang digunakan oleh aktor malware.

Lucifer dianggap sebagai malware hybrid yang kuat yang mampu melakukan cryptojacking dan memanfaatkan mesin yang terinfeksi untuk melakukan serangan Distributed Denial-of-Service (DDoS).

Malware akan memindai TCP port 135 (RPC) dan 1433 (MSSQL) yang terbuka untuk menemukan target dan akan menggunakan serangan credential-stuffing untuk mendapatkan akses. Malware dapat menginfeksi targetnya melalui IPC, WMI, SMB, dan FTP melalui serangan brute-force, serta melalui MSSQL, RPC, dan berbagi jaringan, kata para peneliti.

Setelah berada pada mesin yang terinfeksi, malware menjatuhkan XMRig, sebuah program yang digunakan untuk menambang cryptocurrency Monero (XMR) secara diam-diam.

Lucifer juga akan terhubung ke server perintah-dan-kontrol (C2) untuk menerima perintah – seperti meluncurkan serangan DDoS – mentransfer data sistem curian, dan terus memberi informasi kepada operator tentang status penambang cryptocurrency Monero.

Untuk menyebar, Lucifer menggunakan berbagai kerentanan dan serangan brute-force untuk mengkompromikan host tambahan yang terhubung ke titik infeksi awal.

Lucifer juga akan berusaha menghindari deteksi atau melakukan reverse engineering dengan memeriksa keberadaan sanbox atau mesin virtual. Jika salah satunya ditemukan, maka malware akan memasuki “infinite loop” yang menghentikan operasi.

Gelombang serangan pertama menggunakan Lucifer v.1 terdeteksi pada 10 Juni. Sehari kemudian, malware ditingkatkan menjadi v.2, yang “mendatangkan malapetaka” pada mesin target, kata tim peneliti, dan pada saat penulisan serangan sedang berlangsung.

Baca berita selengkapnya pada tautan di bawah ini:
Source: ZDNet

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Lucifer

Cookies Settings