Hackers estão usando o malware InfoStealer para atacar servidores Windows

Foi identificado um novo malware InfoStealer que tem como alvo os servidores Windows, roubando seus dados confidenciais que incluem as credenciais de login, a versão do SO, os endereços IP e também envia os dados da vítima para o servidor do atacante via FTP.

Pesquisadores de segurança da Checkpoint observaram uma enorme campanha de malware que executa conteúdo malicioso especificamente para roubar dados confidenciais do servidor Windows usando a ferramenta Mimikatz, e a campanha visa especificamente países da Ásia.

A infecção começa com o arquivo executável, baixado de 66 [.] 117.6.174 / ups.rar e, em seguida, é executado na máquina da vítima, e continua a verificar se a máquina comprometida é um servidor Windows ou não.

Malware InfoStealer

Se a máquina infectada for um servidor do Windows, ela executará o malware, quando um sistema operacional diferente é identificado, o malware não será executado.

Ao encontrar o alvo como um “Windows Server”, o servidor envia duas solicitações, uma é descartar os arquivos em lote e disparar o ataque sem arquivo, e a próxima é enviar uma solicitação para sincronizar com o servidor C2.

O arquivo Patch contém os componentes do infame botnet Mirai e os atacantes aprimoraram este módulo com novos comportamentos maliciosos. O novo módulo é capaz de criar um objeto de cliente do Evento WMI que executa o PowerShell e o encaminha para a permissão de administrador.

Em seguida, ele tenta baixar os seguintes malwares, como Mirai, Dark cloud e XMRig miner. Para baixar o malware, ele usa o método cradle obfuscator e invoca o conteúdo do seguinte http: // 173 [.] 208.139.170 / s.txt do IP.

Para evitar a detecção, invoca outro comando que baixa o arquivo ps1 que executa vários comandos. Em seguida, o malware chama GetVersionExA, que extrai a versão do sistema operacional.

Ele extrai os detalhes do processador e invoca o Mimikatz de uma URL externa e despeja todas as senhas. Quando a senha é exfiltrada, ela é salva em um arquivo e, em seguida, o arquivo é carregado em um servidor FTP gerenciado por invasores.

Com base na análise do ponto de verificação, o servidor FTP ainda está aberto e os uploads são continuamente armazenados no servidor a cada segundo.

Adriano Lopes

Adriano Lopes é o criador e proprietário do MundoHacker.net.br. Desenvolvedor Web, Hacker Ético, Programador C, Python, Especialista em Segurança da Informação.