Logiciel malveillant WatchDog

Les chercheurs d'Infosec ont découvert une campagne de cryptojacking qui fonctionne discrètement depuis plus de 2 ans et qui est toujours opérationnelle. Les pirates ont jusqu'à présent réussi à enfreindre au moins 476 systèmes Windows et Linux et ont généré environ 209 pièces de crypto-monnaie Monero. Les prix des crypto-monnaies sont notoirement volatils, mais au prix actuel de Monero, les cybercriminels ont amassé plus de 30 000 $. Si la tendance à la hausse se maintient, le prix des pièces Monero pourrait grimper, ce qui entraînerait des gains encore plus importants pour les pirates.

Le malware déployé dans la campagne est appelé WatchDog Malware. Il se compose d'un ensemble de trois binaires écrits dans le langage de programmation open source Go et d'un fichier de script bash ou PowerShell. Chaque partie de l'ensemble binaire est responsable de l'exécution d'une tâche différente. Le fichier de gestionnaire de réseau est exécuté comme une analyse de réseau et le vecteur d'exploitation initial. Contrairement aux souches de logiciels malveillants de cryptojacking précédemment établies, WatchDog est équipé d'une vaste gamme d'exploits et de vulnérabilités qu'il peut utiliser - 33 exploits spécifiques, 32 fonctions RCE (exécution de code à distance) et plusieurs fonctions de capture de shell. Parmi les cibles de la menace figurent les serveurs vulnérables Elasticsearch et OracleWebLogic. WatchDog exploite les vulnérabilités CVE-2015-1427 et CVE-2014-3120 pour Elastisearch et CVE-2017-10271 pour les serveurs Oracle WebLogic.

La deuxième partie binaire (phpguard) émule un démon de surveillance légitime et garantit que les systèmes violés ne sont pas surchargés ou ne subissent pas une erreur critique. Il peut tester l'utilisation de la mémoire, les processus actuellement actifs et l'espace table des processus et s'assurer que tout est conforme à la norme et empêche le système de se réinitialiser. La dernière partie de WatchDog (phpupdate) est la charge utile menaçante - une version du malware XMRig cryptomining.

Jusqu'à présent, les criminels derrière la campagne WatchDog se contentent de limiter leur fonctionnement au seul cryptojacking. Cependant, les chercheurs d'Infosec préviennent que les pirates pourraient rapidement augmenter la portée de leur attaque grâce aux données de gestion des identités et des accès (IAM) acquises à partir des systèmes déjà violés. Les informations d'identification collectées pourraient être exploitées par les attaquants pour fournir des logiciels malveillants bien plus menaçants.