Varian baru cryptojacking dan malware berbasis DDoS ditemukan mengeksploitasi kerentanan kritis untuk menginfeksi mesin Windows.
Ditemukan oleh Unit 42 Palo Alto Networks dan dijuluki Lucifer, malware ini merupakan bagian dari operasi aktif yang menargetkan kerentanan kritis pada host Windows serta menggunakan berbagai eksploitasi dalam gelombang serangan terbarunya.
Operator malware menamainya Satan DDoS, tetapi karena julukan Satan Ransomware sudah pernah ada sebelumnya, maka Palo Alto memilih untuk menetapkan alias yang berbeda.
Dalam sebuah posting blog, peneliti Ken Hsu, Durgesh Sangvikar, Zhibin Zhang dan Chris Navarrete mengatakan bahwa varian terbaru Lucifer, v.2, ditemukan pada 29 Mei 2020 ketika mereka menyelidiki eksploitasi CVE-2019-9081, bug deserialisasi pada Laravel yang dapat disalahgunakan untuk melakukan serangan remote-code-execution (RCE).
Setelah diperiksa lebih lanjut, ternyata ini hanya salah satu kerentanan dari sekian banyak yang digunakan oleh malware – bersama CVE-2014-6287, CVE-2018-1000861, CVE-2017-10271, kerentanan ThinkPHP RCE (CVE-2018-20062), CVE-2018-7600, CVE-2017-9791, CVE-2019-9081, CVE-2017-0144, CVE-2017-0145, dan CVE-2017-8464, antara lain, tergantung pada versi Lucifer mana yang melakukan operasi.
Perbaikan sebenarnya sudah tersedia untuk semua kerentanan keamanan yang dieksploitasi, tetapi pada host yang belum diperbarui, serangan yang memanfaatkan masalah ini sering disepelekan.
Lucifer dianggap sebagai malware hybrid berbahaya yang mampu melakukan cryptojacking dan memanfaatkan mesin yang terinfeksi untuk melakukan serangan Distributed Denial-of-Service (DDoS).
Malware akan memindai port TCP terbuka 135 (RPC) dan 1433 (MSSQL) untuk menemukan target dan akan menggunakan serangan credential-stuffing untuk mendapatkan akses. Malware dapat menginfeksi targetnya melalui IPC, WMI, SMB, dan FTP melalui serangan brute-force, serta melalui MSSQL, RPC, dan berbagi jaringan, kata para peneliti.
Setelah mesin target terinfeksi, malware akan menyisipkan XMRig, sebuah program yang digunakan untuk menambang cryptocurrency Monero (XMR) secara diam-diam.
Lucifer juga akan terhubung ke server command-and-control (C2) untuk menerima perintah, seperti meluncurkan serangan DDoS, mencuri data, dan terus memberi informasi kepada operator tentang status penambang cryptocurrency Monero.
Baca Juga: “Facebook Messenger Windows Bisa Digunakan Untuk Persistensi Malware“
Untuk menyebarkan dirinya, Lucifer menggunakan berbagai kerentanan dan serangan brute-force untuk menginfeksi host tambahan yang terhubung ke titik infeksi asli.
“Targetnya adalah host Windows di internet dan intranet, mengingat penyerang memanfaatkan utilitas certutil dalam muatan untuk propagasi malware,” catat para peneliti.
Backdoor EternalBlue, EternalRomance, dan DoublePulsar disisipkan juga untuk membangun persistensi dan malware juga akan merusak registri Windows untuk menjadwalkan dirinya sebagai tugas saat startup.
Lucifer juga akan berusaha menghindari deteksi atau me-reverse-engineering dengan memeriksa keberadaan sandbox atau mesin virtual. Jika ditemukan, malware akan memasuki “infinite loop” yang menghentikan operasi.
Gelombang serangan pertama menggunakan Lucifer v.1 terdeteksi pada 10 Juni. Sehari kemudian, malware diperbaharui menjadi v.2, yang “mendatangkan malapetaka” pada mesin target, kata tim peneliti.
Pada saat artikel ini diterbitkan, operasi dari malware Lucifer masih berlangsung.
