Le malware Lucifer cible les systèmes Windows

Des experts en sécurité ont identifié un malware nommé Lucifer qui se propage tout seul et qui cible les systèmes Windows avec des attaques de cryptojacking et de déni de service distribué (DDoS).

Le malware Lucifer essaie d’abord d’infecter les PC en les bombardant d’exploits dans l’espoir de profiter d’une liste «exhaustive» de vulnérabilités non corrigées. Bien qu’il existe des correctifs pour toutes les failles critiques et de gravité élevée, les différentes sociétés touchées par le malware n’ont pas appliqué ces correctifs de sécurité.

“Lucifer est un nouvel hybride de cryptojacking et une variante de malware DDoS qui exploite les anciennes vulnérabilités pour se propager et exécuter des activités malveillantes sur les plates-formes Windows”, ont déclaré des chercheurs de l’Unit 42 de Palo Alto Networks dans un article de blog. «Il est fortement conseillé d’appliquer les mises à jour et les correctifs de sécurité aux logiciels concernés.»

Les vulnérabilités ciblées par Lucifer incluent des failles de Rejetto HTTP File Server (CVE-2014-6287), Oracle Weblogic (CVE-2017-10271), ThinkPHP RCE (CVE-2018-20062), Apache Struts (CVE-2017-9791), le framework Laravel (CVE-2019-9081) et Microsoft Windows (CVE-2017-0144, CVE-2017-0145 et CVE-2017-8464).

dridex 5ss5c

Après avoir exploité ces failles avec succès, l’attaquant se connecte ensuite au serveur de commande et de contrôle (C2) et exécute des commandes arbitraires sur l’appareil vulnérable, ont déclaré les chercheurs. Ces commandes incluent l’exécution d’une attaque de déni de service TCP, UDP ou HTTP. D’autres commandes permettent au malware d’installer un mineur XMRig et de lancer des attaques de cryptojacking, ainsi que de collecter des informations d’interface et d’envoyer le statut du mineur au C2.

Le malware est également capable de se propager par diverses méthodes.

Il recherche les instances ouvertes du port TCP 1433 ou du port d’appel de procédure distante (RPC) 135. Si l’un de ces ports est ouvert, le programme malveillant tente de forcer la connexion à l’aide d’un nom d’utilisateur (administrateur) par défaut et d’une liste de mots de passe intégrée (liste complète des mots de passe utilisés se trouvent dans l’analyse de l’Unit 42). Il copie puis exécute le binaire malveillant sur l’hôte distant une fois l’authentification réussie.

En plus du forçage brutal des identifiants, le malware utilise l’exploitation pour se propager automatiquement. Si le protocole Server Message Block (SMB) (un protocole de partage de fichiers réseau) est activé, Lucifer exécute plusieurs portes dérobées. Les exploits en question sont EternalBlue, EternalRomance et DoublePulsar.

Une fois ces trois exploits utilisés, l’utilitaire certutil est ensuite utilisé pour propager le malware. Certutil.exe est un programme de ligne de commande, installé dans le cadre des services de certificats, qui peut être utilisé pour vider et afficher les informations de configuration de l’autorité de certification (CA), configurer les services de certificats, sauvegarder et restaurer les composants de l’autorité de certification et vérifier les certificats.

lucifer
Creepy Devil silhouette from hell in the mist with backlit.

Lucifer a été découvert lors d’une série d’attaques récentes qui sont toujours en cours. La première vague s’est produite le 10 juin. Les attaquants ont ensuite repris leur campagne le 11 juin avec une version améliorée du malware. Les chercheurs disent que ces mises à jour incluent l’ajout d’une capacité anti-sandbox, une technique anti-débogueur et de nouvelles vérifications pour les pilotes de périphérique, les DLL et les périphériques virtuels.

Ces capacités supplémentaires montrent que les logiciels malveillants gagnent en sophistication, selon les chercheurs. Ils affirment que les entreprises peuvent se protéger simplement avec des mesures de sécurité telles que l’application de correctifs et le renforcement des mots de passe.

Comment se protéger de Lucifer?

“Bien que les vulnérabilités utilisées abusivement et les tactiques d’attaque exploitées par ce malware ne soient pas originales, elles livrent à nouveau un message à toutes les organisations, leur rappelant pourquoi il est extrêmement important de maintenir les systèmes à jour dès que possible, d’éliminer les informations d’identification faibles et d’avoir une couche de défenses pour l’assurance », ont souligné les chercheurs.

Si cet article vous a plu, jetez un œil à notre article précédent.