Malware yang dikenal sebagai DirtyMoe telah memperoleh kemampuan propagasi seperti worm baru yang memungkinkannya memperluas jangkauannya tanpa memerlukan interaksi pengguna apa pun, menurut penelitian terbaru.
"Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa dan peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.
"Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah."
Aktif sejak 2016, digunakan untuk melakukan serangan cryptojacking dan distributed denial-of-service (DDoS), dan disebarkan melalui kit eksploit eksternal seperti PurpleFox atau installer Telegram Messenger yang disuntikkan.
Juga digunakan sebagai bagian dari urutan serangan adalah layanan DirtyMoe yang memicu peluncuran dua proses tambahan, yaitu Core dan Executioner, yang digunakan untuk memuat modul untuk penambangan Monero dan untuk menyebarkan malware dengan cara seperti worm.
Modul worming menyerang mesin korban dengan menggunakan beberapa kerentanan untuk menginstal malware, dengan setiap modul menargetkan kelemahan tertentu berdasarkan informasi yang dikumpulkan setelah pengintaian –
Selain itu, modul worming lain yang sedang dikembangkan ditemukan mengandung eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.
"IP target worming dihasilkan menggunakan algoritma yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan dalam kaitannya dengan lokasi geologis modul worming," kata Chlumecký. "Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko."
"Modul worming menargetkan kerentanan lama yang terkenal, misalnya, eskalasi hak istimewa dan peneliti Avast Martin Chlumecký dalam sebuah laporan yang diterbitkan Rabu.
"Satu modul worm dapat menghasilkan dan menyerang ratusan ribu alamat IP pribadi dan publik per hari; banyak korban dalam bahaya karena banyak mesin masih menggunakan sistem yang belum ditambal atau kata sandi yang lemah."
Aktif sejak 2016, digunakan untuk melakukan serangan cryptojacking dan distributed denial-of-service (DDoS), dan disebarkan melalui kit eksploit eksternal seperti PurpleFox atau installer Telegram Messenger yang disuntikkan.
Juga digunakan sebagai bagian dari urutan serangan adalah layanan DirtyMoe yang memicu peluncuran dua proses tambahan, yaitu Core dan Executioner, yang digunakan untuk memuat modul untuk penambangan Monero dan untuk menyebarkan malware dengan cara seperti worm.
Modul worming menyerang mesin korban dengan menggunakan beberapa kerentanan untuk menginstal malware, dengan setiap modul menargetkan kelemahan tertentu berdasarkan informasi yang dikumpulkan setelah pengintaian –
- CVE-2019-9082: ThinkPHP – Beberapa RCE Injeksi PHP
- CVE-2019-2725: Oracle Weblogic Server – Deserialisasi RCE 'AsyncResponseService'
- CVE-2019-1458: Peningkatan Hak Istimewa Lokal WizardOpium
- CVE-2018-0147: Kerentanan Deserialisasi
- CVE-2017-0144: Eksekusi Kode Jarak Jauh SMB EternalBlue (MS17-010)
- MS15-076: RCE Izinkan Peningkatan Hak Istimewa (Eskalasi Hak Istimewa Windows Kentang Panas)
- Serangan kamus yang ditujukan untuk layanan MS SQL Server, SMB, dan Windows Management Instrumentation (WMI) dengan kata sandi yang lemah.
Selain itu, modul worming lain yang sedang dikembangkan ditemukan mengandung eksploitasi yang menargetkan PHP, Java Deserialisasi, dan Oracle Weblogic Server, menyiratkan bahwa penyerang ingin memperluas cakupan infeksi.
"IP target worming dihasilkan menggunakan algoritma yang dirancang dengan cerdik yang menghasilkan alamat IP secara merata di seluruh dunia dan dalam kaitannya dengan lokasi geologis modul worming," kata Chlumecký. "Selain itu, modul menargetkan jaringan lokal/rumah. Karena itu, IP publik dan bahkan jaringan pribadi di belakang firewall berisiko."