Investigadores da Intezer descobriram uma nova variante da WatchBog, minerador para Linux, que também analisa a Internet à procura de servidores RDP Windows vulneráveis ao Bluekeep, dado pelo CVE-2019-0708.

Esta falha pode ser explorada sem a interação do utilizador, e tem capacidades de "worm", tornando possível que se espalhe descontroladamente na rede-alvo.

O scanner implementado, após vasculhar a Internet à procura de sistemas vulneráveis, envia uma lista encriptada dos mesmos para servidores controlados pelos seus operadores. Estima-se que 4500 máquinas Linux já tenham sido infetadas.

A nível de exploits para Linux, a botnet inclui um módulo que se espalha para as seguintes vulnerabilidades:

CVE-2019-11581 (Jira) CVE-2019-10149 (Exim) CVE-2019-0192 (Solr) CVE-2018-1000861 (Jenkins) CVE-2019-7238 (Nexus Repository Manager 3)

Depois de descobrir um sistema vulnerável, o WatchBog lança um script na máquina para fazer download e executar um minerador da criptomoeda Monero do Pastebin. Para ganhar persistência, o script usa o crontab e faz download de um novo módulo para se espalhar na forma de um executável ELF compilado. Caso seja um malware em python pode ser mais difícil de analisar se for lançado com motores como o Cython.

Como se proteger?

Atualizar o software para a última versão

Verificar a existência do ficheiro “/tmp/.tmplassstgggzzzqpppppp12233333” file ou também o ficheiro“/tmp/.gooobb”

Fonte: https://www.bleepingcomputer.com/news/security/bluekeep-scanner-discovered-in-watchbog-cryptomining-malware/