A empresa de segurança cibernética Trend Micro confirmou que os invasores têm explorado uma vulnerabilidade no servidor Oracle WebLogic para instalar malware de mineração de monero ( XMR ), enquanto usam arquivos de certificado como um truque de ofuscação. A notícia foi revelada em um post no blog da Trend Micro publicado em 10 de junho.

Como relatado anteriormente, as formas de mineração de criptomoedas voltadas a privacidade, também são nomeadas cryptojacking - a prática de instalar malware que utiliza o poder de processamento de um computador para minerar para crriptomoedas sem o consentimento ou conhecimento do proprietário.

De acordo com a publicação da Trend Micro, um patch de segurança para a vulnerabilidade do Oracle WebLogic ("CVE-2019-2725") - supostamente causado por um erro de desserialização - foi lançado no banco de dados nacional de vulnerabilidades no início deste ano.

No entanto, a Trend Micro cita relatórios que surgiram no fórum SANS ISC InfoSec, alegando que a vulnerabilidade já foi explorada para fins de mineração malicioasa de criptomoedas e confirma que verificou e analisou as alegações.

A empresa observa que os ataques identificados implantaram o que descreve como “uma reviravolta interessante” - a saber, “o malware esconde seus códigos maliciosos em arquivos de certificado como uma tática de ofuscação”:

“A idéia de usar arquivos de certificado para ocultar malware não é nova [...] usando arquivos de certificado para fins de ofuscação, um malware pode evitar a detecção, pois o arquivo baixado está em um formato de arquivo de certificado que é visto como normal - especialmente ao estabelecer conexões HTTPS. ”

A análise da Trend Micro começa observando que o malware explora o CVE-2019-2725 para executar um comando do PowerShell, solicitando o download de um arquivo de certificado do servidor de comando e controle.

Depois de continuar a rastrear suas etapas e características - incluindo a instalação da carga útil do minerador XMR - o Micro Trend observa uma aparente anomalia em sua implantação atual:

“O suficiente, após a execução do comando PS a partir do arquivo de certificado decodificado, outros arquivos maliciosos são baixados sem serem ocultados através do formato de arquivo de certificado mencionado anteriormente. Isso pode indicar que o método de ofuscação está atualmente sendo testado quanto à sua eficácia, com a expansão para outras variantes de malware em uma data posterior ”.

O post conclui com uma recomendação às empresas que usam o WebLogic Server para atualizar seu software para a versão mais recente com o patch de segurança, a fim de reduzir o risco de cryptojacking.

Como relatado recentemente , a Trend Micro detectou um grande aumento nos malwares baseados na mineração de  XMR que são destinados especificamente a sistemas baseados na China nesta primavera, em uma campanha que imita atividades anteriores que usaram um script ofuscado do PowerShell para entregar malware de mineração XMR.