Les pirates utilisent les vulnérabilités connues de ProxyShell pour installer des mineurs de crypto-monnaie sur des serveurs Microsoft Exchange fragiles, selon les chercheurs.
Les spécialistes de la cybersécurité de Morphisec ont observé des attaquants non identifiés utilisant ProxyShell (un terme général désignant plusieurs vulnérabilités qui, lorsqu'elles sont enchaînées, permettent l'exécution de code à distance) pour installer XMRig sur des serveurs Microsoft Exchange.
XMRig est l'une des variantes de logiciels malveillants d'extraction de crypto-monnaie les plus populaires, produisant la crypto-monnaie Monero (XMR) pour les attaquants. Monero est une alternative populaire parmi les cybercriminels en raison de ses particularités en matière de confidentialité et du fait qu'il est pratiquement introuvable.
Caché à la vue
Morphisec affirme que les vulnérabilités utilisées dans cette campagne sont CVE-XNUMX-XNUMXKXNUMX et CVE-XNUMX-XNUMXKXNUMX. Les deux ont été découverts et réparés il y a quelques années. Par conséquent, la meilleure façon de se prémunir contre ces attaques est de patcher les endpoints fragiles (s'ouvre dans un nouvel onglet).
Les assaillants ont également fait tout leur possible pour s'assurer qu'ils restent cachés aussi longtemps que possible, ont déclaré les universitaires.
Une fois le mineur configuré, il créera une règle de pare-feu, appliquée à chaque profil de pare-feu Windows, pour bloquer tout le trafic sortant. De cette façon, ont poursuivi les chercheurs, les équipes informatiques et autres défenseurs ne seront pas informés de la violation du système.
De plus, le malware attendra au moins trente secondes entre le début du processus de minage et la création de la règle de pare-feu, afin d'éviter de déclencher des alarmes des outils de sécurité qui surveillent le comportement d'exécution du processus.
Les mineurs de crypto-monnaie ne détruiront pas un ordinateur, mais comme ils consomment pratiquement toute la puissance de calcul, ils rendront l'appareil pratiquement inutile. En plus de cela, ils pourraient augmenter considérablement les factures d'électricité des propriétaires d'ordinateurs.
Morphisec a également déclaré que les propriétaires de serveurs Microsoft Exchange fragiles ne devraient pas prendre l'attaque à la légère, car après avoir pénétré le réseau, rien n'empêche les attaquants d'incorporer toute autre forme de malware.
Via : BleepingComputer (s'ouvre dans un nouvel onglet)