Cryptocurrency mining-malware installeert zichzelf op zakelijke applicatieservers

Er is nieuwe cryptocurrency mining-malware geïdentificeerd die zichzelf installeert op zakelijke applicatieservers. De malware valt Oracle WebLogic Servers aan om een ​​Monero cryptocurrency mining-bot te installeren. De schadelijke code wordt verborgen in certificaatbestanden, waardoor de malware onopgemerkt blijft door firewalls en antivirussoftware.

De malware gebruikt een exploit om een ​​geautomatiseerde opdracht uit te voeren om zo het kwaadwillige certificaatbestand te downloaden. De kwaadaardige software gebruikt een gemeenschappelijke kwetsbaarheid die voor het eerst werd vastgesteld in april 2019 door onderzoekers van cyberbeveiligingsbedrijf Trend Micro. 

Certificaatbestanden

Om het certificaat te lezen en de naam en extensie ervan in een updatebestand te wijzigen, maakt de malware gebruik van een decoderingstool. Nadat het updatebestand is uitgevoerd, wordt het certificaatbestand verwijderd en wordt een ander geautomatiseerd script gedownload en uitgevoerd. Het betreft dit tweede script, dat de cryptocurrency-mijnwerker downloadt en uitvoert, aldus The Next Web.

Volgens de onderzoekers is het gebruik van certificaatbestanden om malware te verbergen geen nieuwe techniek. Eerder bracht een ander beveiligingsbedrijf, Sophos, al een proof-of-concept naar buiten. Hierin is te zien hoe Excel-documenten met macro’s, die zijn ingebed in certificaatbestanden, kunnen worden gebruikt om detectie te omzeilen. Kwaadwillende bestanden kunnen dus onopgemerkt blijven, gezien certificaatbestanden veelal door beveiligingssoftware als normaal worden beschouwd.

Oracle-servers

Trend Micro-onderzoekers hebben inmiddels vastgesteld dat de exploit is gebruikt om onveilige Oracle-servers aan te vallen middels cryptojack. Een begrip dat staat voor een samenvoeging van cryptocurrency en hijack. Deze nieuwe malware doet vermoeden dat cryptojackers graag gebruik maken van zogeheten obfuscation-technieken om zo hun cryptocurrency-minisoftware in machines van slachtoffers te stoppen. Onlangs werd er nog een imitatie cryptocurrency trading website ontdekt, die hackers gebruiken om hun cryptocurrency-minisoftware in computers van slachtoffers te verstoppen. 

Oracle heeft al een update uitgebracht die de aanvalsvector van de malware aanpakt. Het is voor nu nog onduidelijk of hackers cryptocurrency hebben buitgemaakt.