El nuevo malware 'Xwo' busca servicios expuestos con contraseñas predeterminadas



Según los informes de AT&T Alien Labs, una familia de malware identificada recientemente está explorando activamente en Internet los servicios web expuestos y las contraseñas predeterminadas.

La firma que resultó de la adquisición de AlienVault por parte de AT&T llama al nuevo malware "Xwo", basado en el nombre del módulo primario de la amenaza. Probablemente relacionado con las familias de malware Xbash y MongoLock, se observó que la amenaza se ejecutaba con el nombre de xwo.exe.

Xwo, dicen los investigadores de seguridad de AT&T Alien Labs, utiliza un código basado en Python similar al de MongoLock, una pieza de ransomware que borra los servidores de MongoDB y exige que los administradores paguen un rescate para recuperar sus datos. Además, tanto Xwo como MongoLock utilizan nombres de dominio de comando y control (C&C) similares, y muestran superposiciones en la infraestructura de C&C.

Xwo, sin embargo, no incluye ransomware o capacidades de explotación, sino que solo recopila credenciales e información de acceso al servicio y envía todos los datos al C&C.

Los investigadores también descubrieron que el script Python de Xwo contiene el código copiado de XBash, el malware destructivo de Linux que se dirige a las intranets empresariales y que se cree que está conectado al actor de amenazas de Iron Group.

En este momento, Alien Labs no está seguro de si Xwo también está relacionado con Iron Group o si solo utiliza el código que se ha compartido públicamente.

Tras la ejecución, Xwo se conecta al servidor de C&C y luego comienza a escanear un rango de red proporcionado por el servidor para iniciar su actividad de reconocimiento y enviar los datos recopilados a los atacantes.

Recopila información sobre el uso de credenciales predeterminadas para los servicios FTP, MySQL, PostgreSQL, MongoDB, Redis y Memcached; Credenciales predeterminadas de Tomcat y configuraciones erróneas; SVN predeterminado y rutas Git; Git repositoryformatversion content; Detalles de PhpMyAdmin; www / rutas de respaldo; Detalles de RealVNC Enterprise Direct Connect; y accesibilidad RSYNC.

"Si bien Xwo se aleja de una variedad de características maliciosas [...], como ransomware o exploits, el uso general y el potencial que posee pueden ser perjudiciales para las redes de todo el mundo. Es probable que Xwo sea un nuevo paso hacia una capacidad de avance, y esperamos que el valor total de esta herramienta de recopilación de información se aproveche para bien en el futuro ", concluye Alien Labs.


Fuente: https://www.securityweek.com/
No olvides Compartir...
Siguenos en twitter: @disoftin

Publicar un comentario

0 Comentarios