El mes pasado, investigadores de Juniper Threat Labs describieron un nuevo gusano y botnet denominado Gitpaste-12 debido al uso de GitHub y Pastebin para alojar el código del componente. Si bien inicialmente el gusano utilizó exploits para casi una docena de fallas conocidas para comprometer a las víctimas, en una nueva versión del malware la lista de vulnerabilidades se amplió para incluir más de 30 exploits.
La ola inicial de ataques de Gitpaste-12 se vio por última vez el 27 de octubre, pero el 10 de noviembre el equipo de Juniper Threat Labs detectó una segunda ronda de ataques que involucraban a Gitpaste-12 utilizando cargas útiles de diferentes repositorios de GitHub, que, entre otros, contiene una criptografía de Linux. -miner ("ls") y un archivo con una lista de contraseñas para intentos de fuerza bruta ("pass").
La infección comienza con un binario empaquetado en UPX llamado X10-unix, que está escrito en el lenguaje de programación Go y compilado para sistemas Linux x86_64.
“El sufijo 'b64' indica un archivo que ha sido codificado en base 64 en un archivo de texto ASCII para su uso como carga útil de explotación. Podemos ver que X10-unix es multiplataforma, con versiones para máquinas MIPS y ARM Linux, así como Windows ”, dice el informe. "El gusano luego inicia una amplia serie de ataques que comprenden al menos 31 vulnerabilidades conocidas, siete de las cuales también se observaron en la muestra anterior de Gitpaste-12, así como intentos de comprometer las conexiones abiertas de Android Debug Bridge y las puertas traseras de malware existentes".
La lista de exploits incluye fallas de ejecución remota en productos F5 BIG-IP ( CVE-2020-5902 ), Tenda AC15 AC1900 ( CVE-2020-10987 ), vBulletin ( CVE-2020-17496 ), así como en el enrutador Huawei HG532 ( CVE). -2017-17215 ) y Realtek SDK ( CVE-2014-8361 ) entre otros.
Además de instalar X10-unix y el software de minería criptográfica Monero en la máquina, el malware también abre una puerta trasera que escucha en los puertos 30004 y 30006, carga la dirección IP externa de la víctima en una pasta Pastebin privada e intenta conectarse a Android Debug Bridge. conexiones en el puerto 5555.
"Si bien es difícil determinar la amplitud o la eficacia de esta campaña de malware, en parte porque Monero, a diferencia de Bitcoin, no tiene transacciones rastreables públicamente, JTL puede confirmar que se han observado más de cien hosts distintos propagando la infección", dijo el equipo de investigación. .
