Global Preloader
Vulnerabilidad
(07/Oct/2019) Nueva campaña de malware explota vulnerabilidad Drupalgeddon2

Nueva campaña de malware explota vulnerabilidad Drupalgeddon2

Los investigadores de seguridad de Akamai descubrieron que hackers continúan explotando la vulnerabilidad en Drupal llamada Drupalgeddon2 para instalar malware en sistemas sin actualizaciones de seguridad.

Aunque no es generalizada, la campaña parece estar dirigida a una amplia gama de sitios web de alto perfil, sin centrarse en una industria específica.

Uno de los archivos .gif analizados fue alojado en un sitio web de bodysurfing comprometido ubicado en Brasil. El archivo contiene código PHP ofuscado diseñado para decodificar malware codificado en base64 almacenado en una variable.

El investigador descubrió que el malware podía buscar credenciales almacenadas en archivos locales, enviar correos electrónicos con las credenciales descubiertas, reemplazar el archivo .htaccess local, mostrar archivos de configuración MySQL my.cnf, ejecutar un archivo remoto, mostrar información del sistema, renombrar archivos, cargar archivos e iniciar un shell web.

Además del .gif, el ataque descarga malware almacenado en un .txt en forma de script en Perl. Este programa malicioso utiliza Internet Relay Chat (IRC) para la comunicación de comando y control (C&C).

La amenaza puede lanzar ataques distribuidos de denegación de servicio (DDoS), pero también funciona como un troyano de acceso remoto (RAT). Se puede conectar a un servidor IRC ahora difunto y unirse a un canal específico para recibir comandos.

La vulnerabilidad Drupalgeddon2 dirigida tiene un año y medio de antigüedad y puede explotarse fácilmente, lo que crea grandes riesgos para entornos empresariales con sistemas sin parches, ya que los ataques de escaneo e infección pueden automatizarse.