Des milliers d'appareils d'entreprise à travers le monde sont ciblés par une nouvelle campagne de malware appelée Blue Mockingbird. Une fois infecté, ce malware télécharge et installe des charges utiles supplémentaires qui utilisent l’appareil pour extraire la crypto-monnaie Monero, qui est ensuite envoyée aux pirates. Selon les chercheurs de la société de sécurité cloud Red Canary, cette vulnérabilité est active depuis décembre dernier et s'est poursuivie jusqu'en avril. Les pirates cibleraient les serveurs publics vulnérables à l'aide de l'infrastructure d'interface utilisateur de Telerik. Une fois que les pirates ont accédé au système, ils utilisent la technique JuicyPotato pour obtenir un accès au niveau administrateur et déployer l'outil Monero-mining XMRIG conditionné sous forme de DLL sur les systèmes Windows.
Rossignol bleu
S'il s'avère que les serveurs concernés sont connectés au réseau interne d'une entreprise, les pirates tentent de propager des logiciels malveillants sur le réseau à l'aide de connexions Remote Desktop Protocol (RDP) ou Server Message Block (SMB). Les chercheurs pensent que la version obsolète de l'interface utilisateur de Telerik, qui fait partie des applications serveur basées sur ASP.Net, pourrait être le véritable coupable de cette vulnérabilité. Le rapport de Red Canary indique que même si les pirates ciblent les petites organisations, ils ont peut-être déjà touché plusieurs milliers d'appareils. Le nombre réel d’appareils infectés pourrait être plus élevé, car les entreprises considérées comme sûres sont également sujettes à cette attaque de crypto-minage. "Comme toute entreprise de sécurité, nous avons une visibilité limitée sur le paysage des menaces et il n'y a aucun moyen de connaître l'ampleur complète de cette menace", a déclaré Red Canary dans un communiqué. « Cette menace, en particulier, a affecté un très petit pourcentage d'organisations dont nous contrôlons les terminaux. Cependant, nous avons constaté environ 1,000 XNUMX infections au sein de ces organisations, et sur une courte période de temps. Pour bloquer ces menaces, les chercheurs suggèrent d'appliquer des correctifs aux serveurs et applications Web, ajoutant que si cela n'est pas possible, ces tentatives devraient être bloquées au niveau initial à l'aide d'un pare-feu. Via : ZDNet