Necro Python Bot é atualizado para explorar falha em servidores VMware e minerar criptomoedas

Um malware multi-plataforma baseado em Python direcionado a dispositivos Windows e Linux foi atualizado para explorar o mais recente bug crítico que afeta instalações do vCenter Server.

VEJA TAMBÉM: Como escolher a melhor solução NAC para sua empresa?

Pesquisadores da Cisco Talos divulgaram um relatório sobre Necro Python (também conhecido como FreakOut) um bot que está em funcionamento desde 2015. O desenvolvimento desse malware foi documentado em janeiro de 2021 pela Check Point Research e pela Netlab 360.

O desenvolvedor por trás do Necro Python fez várias mudanças para aumentar seu poder e versatilidade, incluindo explorações de vulnerabilidades de 10 aplicações web diferentes e do protocolo SMB. Os pesquisadores de segurança Cisco Talos, afirmam:

Embora o bot tenha sido descoberto originalmente no início deste ano, a atividade mais recente mostra inúmeras mudanças no bot, que vão desde diferentes comunicações de comando e controle (C2) e a adição de novos exploits para propagação, principalmente vulnerabilidades em VMWare vSphere, SCO OpenServer, Vesta Control Panel e exploits baseados em SMB que não estavam presentes nas iterações anteriores do código.

Outra novidade do malware é o minerador de criptomoedas chamado XMRig, usado para gerar Monero (XMR) roubando os recursos de computação da máquina comprometida. Sobre esse tema, os pesquisadores dizem:

O bot também injeta o código para baixar e executar um minerador baseado em JavaScript de um servidor controlado por um invasor em arquivos HTML e PHP em sistemas infectados. Se o usuário abrir o aplicativo infectado, um minerador Monero baseado em JavaScript será executado no espaço de processo do navegador.

Outros recursos do Necro Python incluem a capacidade de lançar ataques DDoS, roubo de dados e sniffing de rede. Um rootkit também é instalado garantindo que o malware seja iniciado sempre que um usuário fizer login e ocultando sua presença.

VEJA TAMBÉM: Novo e sofisticado trojan brasileiro ataca usuários de 70 bancos na Europa e América do Sul

As habilidades polimórficas do bot também foram destacadas no relatório. Toda vez que o malware é iniciado, ele lê seu próprio arquivo e transforma seu código, uma técnica que dificulta sua detecção. Os pesquisadores concluem:

Os usuários precisam se certificar de aplicar regularmente as atualizações de segurança mais recentes a todos os aplicativos, não apenas aos sistemas operacionais.

Fontes: ZDNet e TechRepublic

Conheça nossas soluções avançadas, robustas e seguras de NOC & SOC, Zero Trust, Next-Gen Firewalls, LGPD, Hardware, Monitoramento de Rede, Transferência de Arquivos Gerenciada, Consultoria de TIC, Treinamentos, Sustentação de Aplicações, Outsourcing, Licenciamento Geral e Help Desk.