Un nouveau botnet exploite près d'une douzaine de vulnérabilités hautement critiques dans les systèmes Windows pour les transformer en clients de cryptomining et lancer des attaques DDoS. Le malware derrière le botnet s'appelait Satan DDoS, bien que les chercheurs en sécurité aient pris le nom de Lucifer pour éviter toute confusion avec le ransomware Satan. L'unité 42 de Palo Alto Networks a commencé à étudier le botnet après que les chercheurs de l'entreprise l'ont découvert à la suite de plusieurs incidents liés à l'exploitation d'une vulnérabilité critique dans un composant du framework Web Laravel pouvant conduire à l'exécution de code à distance. Initialement, le malware Lucifer était censé être utilisé pour exploiter la cryptomonnaie Monero. Cependant, il apparaît plus tard que le malware contient également un composant DDoS, ainsi qu'un mécanisme d'auto-propagation qui utilise de graves vulnérabilités et un forçage brutal à son avantage.
Logiciel malveillant Lucifer
Dans un article de blog, Unit 42 a fourni des détails supplémentaires sur la puissance du malware Lucifer, en déclarant : « Lucifer est assez puissant dans ses capacités. Non seulement il est capable de supprimer XMRig pour le cryptojacking Monero, mais il est également capable de commander et de contrôler (C2) et se propage automatiquement en exploitant de multiples vulnérabilités et en forçant les informations d'identification brutes. De plus, il supprime et exécute les portes dérobées EternalBlue, EternalRomance et DoublePulsar contre des cibles vulnérables aux infections intranet. " Les opérateurs derrière Lucifer ont exploité des exploits pour 11 vulnérabilités différentes, toutes qui ont depuis été corrigés. Cependant, les cybercriminels exploitent souvent d’anciennes vulnérabilités pour attaquer les utilisateurs qui n’ont pas encore mis à jour leurs systèmes. La dernière version du malware botnet inclut également une protection contre l'analyse qui lui permet de vérifier le nom d'utilisateur et le nom de l'ordinateur d'une machine infectée avant d'effectuer ses opérations. Si des noms correspondant aux environnements d'analyse sont trouvés, le logiciel malveillant est arrêté. Pour se protéger contre Lucifer, les entreprises et les particuliers doivent maintenir leurs logiciels à jour avec les derniers correctifs et utiliser des mots de passe forts. Via un ordinateur Bleeping