Hackers implantam minerador de criptomoedas nos servidores da Oracle

Por Felipe Demartini | 11 de Junho de 2019 às 19h30

Uma falha de segurança descoberta originalmente em abril está sendo usada por hackers para instalar mineradores de criptomoedas em servidores da Oracle. Usando arquivos de certificação fraudados, os criminosos seriam capazes de evadir a vigilância de softwares de segurança como firewalls e antivírus, utilizando scripts para gerar o dinheiro virtual a partir da infraestrutura comprometida, sem que fossem detectados.

A brecha foi apontada pelos especialistas da Trend Micro e estaria localizada nos servidores WebLogic da Oracle, que fornecem serviços voltados a aplicativos. Uma vez embutida nos certificados, a praga é capaz de usar uma ferramenta de decodificação para se renomear, executando um script que baixa e executa o minerador de criptomoeda. O arquivo de certificação original é deletado após esse processo.

Não se sabe ao certo o número de servidores infectados nem se alguma quantia efetivamente considerável foi obtida pelos hackers, que estavam utilizando a infraestrutura para minerar Monero. A brecha já foi corrigida pela Oracle, que liberou atualização para resolver a questão e evitar que novos certificados maliciosos sejam lídios e instalados nas máquinas. O código do patch é CVE-2019-2725 e a recomendação é que todos os administradores de sistemas apliquem a correção o mais rapidamente possível.

Participe do nosso Grupo de Cupons e Descontos no Whatsapp e garanta sempre o menor preço em suas compras de produtos de tecnologia.

Entretanto, de acordo com a Trend Micro, a atual infecção pode ser um meio, não um fim. O método utilizado, com a ofuscação de um script que solicita o download de updates não ocultos, pode estar servindo como uma espécie de testes para os criminosos, podendo representar uma porta de entrada para novas infecções com malware em algum momento futuro.

A colocação de pragas em certificados ou outros arquivos insuspeitos vem sendo cada vez mais uma arma dos hackers para mineração de criptomoedas. Arquivos do Excel com macros e atualizações maliciosas para aplicativos ou infraestruturas inteiras são apenas alguns dos vetores para ataques desse tipo, com os usuários ou administradores apenas percebendo que algo está errado quando notam um uso exacerbado de recursos da rede ou do hardware.

Esta também não é a primeira vez que os servidores Oracle WebLogic são alvo de explorações desse tipo. Em janeiro, hackers foram capazes de minerar US$ 226 mil também em Monero utilizando uma brecha parecida, que permitia a instalação de softwares na infraestrutura. Além disso, a brecha, já solucionada pela fabricante, também permitia a execução de códigos maliciosos que dariam aos invasores controle total sobre a máquina.

Fonte: Trend Micro

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.