Hackers exploram falha do Apache para implantar carga útil de minerador de Cripto Linuxsys

HomeNews* Pesquisadores descobriram um novo ataque que explora uma vulnerabilidade conhecida no Apache HTTP Server para implantar o minerador de criptomoedas Linuxsys.

• Os atacantes utilizam websites legítimos comprometidos e a falha de travessia de caminho CVE-2021-41773 para evadir a detecção e espalhar Malware.
• O malware é distribuído através de scripts de shell e inicia-se automaticamente após a reinicialização do sistema; as evidências mostram que a ameaça também visa sistemas Windows.
• Esta campanha aproveita várias vulnerabilidades de software conhecidas, sugerindo um esforço coordenado a longo prazo para a mineração ilícita de moedas.
• Uma campanha separada utiliza uma porta dos fundos sofisticada chamada GhostContainer para atacar servidores Exchange do governo na Ásia para espionagem. As empresas de cibersegurança identificaram uma nova campanha de malware onde os atacantes exploram uma vulnerabilidade de segurança no Apache HTTP Server para distribuir uma ferramenta de mineração de criptomoeda chamada Linuxsys. Os ataques, detectados em julho de 2025, visam especificamente o bug CVE-2021-41773 na versão 2.4.49 do Apache, permitindo que usuários não autorizados executem código remotamente em servidores vulneráveis.

• Anúncio - Os atores de ameaças distribuem o malware comprometendo websites legítimos e utilizando-os como pontos de entrega. De acordo com VulnCheck, os atacantes iniciam infecções a partir de um endereço IP indonésio e utilizam um servidor de download, “repositorylinux[.]org,” para buscar scripts de shell maliciosos. Esses scripts são responsáveis por baixar o minerador Linuxsys a partir de vários domínios confiáveis, tornando a detecção mais difícil, uma vez que as conexões usam certificados SSL válidos.

O script shell automatiza o processo de instalação e dropa outro script, "cron.sh," que garante que o minerador seja iniciado toda vez que o sistema reiniciar. VulnCheck observou que alguns dos sites comprometidos também contêm arquivos de malware para Windows, indicando que o alcance da campanha pode se estender além dos sistemas Linux. Os atacantes já exploraram vulnerabilidades críticas, como uma falha no OSGeo GeoServer GeoTools (CVE-2024-36401), para atividades de mineração similares. Comentários dentro do código-fonte do malware estão escritos em Sundanês, sugerindo uma conexão com a Indonésia.

Outras vulnerabilidades de software utilizadas em ataques passados para implantar o minerador incluem injeção de template no Atlassian Confluence (CVE-2023-22527), injeção de comando no Chamilo LMS (CVE-2023-34960), e falhas semelhantes no Metabase e em firewalls da Palo Alto (CVE-2024-0012 e CVE-2024-9474). “Tudo isso indica que o atacante tem conduzido uma campanha de longo prazo, empregando técnicas consistentes como exploração n-day, estágio de conteúdo em hosts comprometidos e mineração de moedas em máquinas vítimas,” relatou a VulnCheck.

Num incidente separado, Kaspersky alertou sobre um ataque direcionado contra servidores governamentais na Ásia através de um malware personalizado chamado GhostContainer. Os atacantes podem ter explorado um bug de execução remota de código (CVE-2020-0688) nos Microsoft Exchange Servers. Este backdoor permite acesso total a servidores comprometidos sem se conectar a centros de comando externos, ocultando instruções dentro de solicitações web normais, o que aumenta a furtividade.

As campanhas demonstram um direcionamento persistente de falhas de software publicamente conhecidas e táticas sofisticadas para manter um perfil baixo enquanto realizam operações de mineração e espionagem.

Artigos Anteriores:

• A Ameaça de Tarifas de Trump Desvia o Impulso do BRICS por uma Moeda Comum
• A Axiology da Lituânia ganha licença DLT para negociação de obrigações digitais
• BlackRock Investe $916M em Bitcoin, Ethereum à medida que as participações em criptomoedas aumentam
• Bitcoin atinge $123K à medida que relatório da força-tarefa de Trump gera burburinho no mercado
• XRP Aproxima-se de $200B em Capitalização de Mercado, Aumenta 35% em Relação ao Bitcoin em Julho

• Anúncio -