Investigadores de SANS han detectado una dirección URL que se dirigiría a servidores PHP vulnerables, explotando potencialmente el fallo CVE-2024-4577 (CVSSv3 9.8) o configuraciones erróneas que permiten el acceso público a “php-cgi.exe” ejecutando múltiples comandos a través de la función system(). Esta descarga un ejecutable malicioso, denominado “dr0p.exe”, de un servidor remoto para ejecutarlo localmente, e intenta descargar el mismo ejecutable utilizando wget, eludiendo la verificación del certificado SSL.

Dicho servidor tendría sede en EE. UU. y alojaría EvilBit Block Explorer en el puerto 80, además de exponer los puertos 22, 110 y 6664. Asimismo, el análisis reveló que el malware lanza packetcrypt.exe, el cual se corresponde probablemente con un minero de criptomonedas, al tiempo que proporciona una dirección de cartera PKT Classic como argumento.

La investigación de SANS reveló que la criptomoneda minada en los servidores PHP comprometidos era PKTC, una moneda de prueba de trabajo heredada del proyecto PacketCrypt.

Leer más »

Tomado del Boletín Semanal de Ciberseguridad, 4-10 enero
2024 © Telefónica Cyber Security & Cloud Tech S.L.U. Todos los derechos reservados