Malware empresta código utilizado por botnets como Mirai, Qbot e Zbot.
O malware em evolução “EnemyBot”, ameaça de Internet das Coisas (IoT), está mirando sistemas de gerenciamento de conteúdo (CMS), servidores web e dispositivos Android. Pesquisadores acreditam que o grupo hacker “Keksec” está por trás da distribuição do cibercrime.
“Serviços como o VMWare Workspace One, Adobe ColdFusion, WordPress, PHP Scriptcase e outros estão sendo atingidos, assim como dispositivos IoT e Android”, reportou a AT&T Alien. “O malware está evoluindo rapidamente ao adotar vulnerabilidades one-day como parte dos seus recursos de exploração”.
Conheça as vulnerabilidades exploradas pelo EnemyBot
Pesquisadores da A AT&T divulgaram uma lista de vulnerabilidades que são atualmente exploradas pelo EnemyBot. Algumas delas ainda nem contam com um registro “CVE” (commom vulnerabilities and exposures), como é o caso da PHP Scriptcase e da Adobe ColdFusion 11:
- Vulnerabilidade Log4shell – CVE-2021-44228, CVE-2021-45046
- Dispositivos F5 BIG IP – CVE-2022-1388
- Spring Cloud Gateway – CVE-2022-22947
- TOTOLink A3000RU (roteador wireless) – CVE-2022-25075
- Kramer VIAWare – CVE-2021-35064
“Isso indica que os hackers do Keksec têm recursos e desenvolveram o malware para tirar vantagem das vulnerabilidades antes que elas sejam corrigidas, aumentando a velocidade e a escala da distribuição”, explicaram os estudiosos.
Ações Recomendadas
O pesquisador da Alien sugere alguns métodos de proteção contra a exploração. Usuários são aconselhados a utilizar um firewall bem configurado e a focar em reduzir a exposição de servidores Linux e dispositivos IoT à Internet.
Outra ação recomendada é monitorar o tráfego de rede e as portas de saída, assim como identificar o uso suspeito da banda larga. Os softwares também devem ser atualizados automaticamente com os últimos patches de segurança disponíveis.
FONTE/LEIA MAIS: ThreatPost