Palo Alto Networks: Il cybercrime sta diffondendo il malware Lucifer in due versioni e campagne, di cui una è ancora attiva

Si chiama Lucifer ed è un nuovo malware del cybercrime in circolazione in due versioni. Lo hanno scoperto i ricercatori di cyber security della Unit 42 di Palo Alto Networks. Il codice malevolo sfrutta molteplici vulnerabilità, classificate come critiche e ad alto impatto, presenti in alcuni software tra cui Rejetto HTTP File Server, Jenkins, Oracle Weblogic, Drupal, Apache Struts, Laravel framework e Microsoft Windows. Le falle sono le CVE: CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, CVE-2018-20062 bug RCE di ThinkPHP, CVE-2018-7600, CVE-2019-9081, PHPStudy Backdoor RCE CVE-2017-0144, CVE-2017-0145 e CVE-2017-8464. Il malware viene veicolato attraverso due campagne: la prima terminata il 10 giugno e la seconda, ancora attiva, iniziata il giorno successivo. 

Come funziona il codice malevolo secondo gli esperti di cyber security

Secondo gli esperti di cyber security entrambe le versioni di Lucifer presentano funzionalità identiche. Queste sono in grado di raccogliere informazioni da inviare al server di C2, lanciare attacchi DDoS, scaricare ed eseguire XMRig per il crytpo-jacking,  effettuare un controllo sulle connessioni remote e sulle porte TCP, propagarsi tramite attacchi a forza bruta delle credenziali, infettare gli host di Windows vulnerabili, impiantando backdoor come EternalBlue, EternalRomance e DoublePulsar. Ciò attraverso lo sfruttamento di alcuni exploit. Inoltre, la seconda offre capacità aggiuntive come una feature anti-sanbox e la possibilità, attraverso il riconoscimento di alcuni driver e DLL, di terminare il suo stesso processo. Infine, il cybercrime ha impiegato una funzione anti-debugger al fine di rendere più complessa l’analisi.