Hackers explotan una grave falla de PHP para implementar Quasar RAT y mineros XMRig

Los actores de amenazas están explotando una grave falla de seguridad en PHP para distribuir mineros de criptomonedas y troyanos de acceso remoto (RAT) como Quasar RAT.

La vulnerabilidad, a la que se le ha asignado el identificador CVE CVE-2024-4577 , se refiere a una vulnerabilidad de inyección de argumentos en PHP que afecta a los sistemas basados en Windows que se ejecutan en modo CGI y que podría permitir a atacantes remotos ejecutar código arbitrario.

La empresa de ciberseguridad Bitdefender afirmó haber observado un aumento en los intentos de explotación contra CVE-2024-4577 desde finales del año pasado, con una concentración significativa reportada en Taiwán (54,65%), Hong Kong (27,06%), Brasil (16,39%), Japón (1,57%) e India (0,33%).

Aproximadamente el 15 % de los intentos de explotación detectados implican comprobaciones básicas de vulnerabilidades mediante comandos como «whoami» y «echo «. Otro 15 % se centra en comandos utilizados para el reconocimiento del sistema, como la enumeración de procesos, el descubrimiento de redes, la información de usuarios y dominios, y la recopilación de metadatos del sistema.

Martin Zugec, director de soluciones técnicas de Bitdefender, señaló que al menos aproximadamente el 5% de los ataques detectados culminaron en la implementación del minero de criptomonedas XMRig.

Otra campaña más pequeña implicó el despliegue de mineros Nicehash, una plataforma que permite a los usuarios vender potencia de procesamiento a cambio de criptomonedas, añadió Zugec. El proceso de minería se disfrazó de una aplicación legítima, como javawindows.exe, para evitar ser detectado.

Se han descubierto otros ataques que aprovechan la deficiencia en la entrega de herramientas de acceso remoto como Quasar RAT de código abierto, así como que ejecutan archivos de instalación de Windows (MSI) maliciosos alojados en servidores remotos mediante cmd.exe.

En un giro quizás curioso, la compañía rumana dijo que también observó intentos de modificar las configuraciones del firewall en servidores vulnerables con el objetivo de bloquear el acceso a IP maliciosas conocidas asociadas con el exploit.

Este comportamiento inusual ha planteado la posibilidad de que grupos rivales de cryptojacking compitan por el control de recursos vulnerables, impidiéndoles atacar por segunda vez a aquellos bajo su control. También es coherente con observaciones históricas sobre cómo los ataques de cryptojacking suelen interrumpir los procesos de minería rivales antes de desplegar sus propias cargas útiles.

El desarrollo llega poco después de que Cisco Talos revelara detalles de una campaña que utiliza la falla de PHP en ataques dirigidos a organizaciones japonesas desde principios de año.

Se recomienda a los usuarios que actualicen sus instalaciones de PHP a la última versión para protegerse contra posibles amenazas.

«Dado que la mayoría de las campañas han estado utilizando herramientas LOTL, las organizaciones deberían considerar limitar el uso de herramientas como PowerShell dentro del entorno solo a usuarios privilegiados, como los administradores», dijo Zugec.

Fuente y redacción: thehackernews.com

La falla del sistema apaga la Bolsa de Londres

GitHub anuncia escaneo secreto gratuito para todos los repositorios públicos

La vulnerabilidad de la cámara IP de Dahua podría permitir a los atacantes tomar el control total de los dispositivos