Crackers começaram a usar "SambaCry" para hackear máquinas Linux e Unix. |
Uma vulnerabilidade de execução de código remoto crítica de 7 anos no software de rede Samba (reimplementação do protocolo de rede SMB) que permite que um cracker remoto controle totalmente as máquinas Linux e Unix vulneráveis.
Cerca de 485.000 computadores habilitados para Samba foram encontrados para serem expostos na Internet, e os pesquisadores previram que os ataques baseados em SambaCry também têm potencial para se espalhar como o WannaCry amplamente.
A previsão resultou ser bastante precisa, já que os honeypots criados pela equipe de pesquisadores da Kaspersky Lab capturaram uma campanha de malware que está explorando a vulnerabilidade do SambaCry para infectar computadores Linux com o software de mineração de criptografia.
Outro investigador de segurança, Omri Ben Bassat, descobriu de forma independente a mesma campanha e chamou-o de "EternalMiner".
De acordo com os pesquisadores, um grupo desconhecido de crackers começou a sequestrar PCs Linux apenas uma semana após a falha do Samba ter sido divulgada publicamente e instalar uma versão atualizada do "CPUminer", um software de mineração de criptografia que minima a moeda digital "Monero".
Depois de comprometer as máquinas vulneráveis usando a vulnerabilidade do SambaCry:
INAebsGB.so - Um shell reverso que fornece acesso remoto aos atacantes.
CblRWuoCc.so - Um backdoor que inclui utilitários de mineração de criptografia - CPUminer.
"Através do invólucro reverso deixado no sistema, os atacantes podem mudar a configuração de um mineiro que já está executando ou infectar o computador da vítima com outros tipos de malware", dizem pesquisadores da Kaspersky.
As criptografia de mineração podem ser um investimento caro, pois exige uma enorme quantidade de poder de computação, mas esse malware de mineração de criptografia torna mais fácil para os cibercriminosos, permitindo que eles utilizem recursos computacionais de sistemas comprometidos para obter o lucro.
Os mantenedores do Samba já corrigiram o problema em suas novas versões do Samba 4.6.4 / 4.5.10 / 4.4.14 e estão exortando aqueles que usam uma versão vulnerável do Samba para instalar o patch o mais rápido possível. [ Fonte: The Hacker News ]