Se ha observado que se explota una vulnerabilidad ahora parcheada en VMware Workspace ONE Access para entregar mineros de criptomonedas y ransomware en las máquinas afectadas.
“El atacante tiene la intención de utilizar los recursos de la víctima tanto como sea posible, no solo para instalar RAR1Ransom para la extorsión, sino también para difundir GuardMiner para recolectar criptomonedas”, dijo Cara Lin, investigadora de Fortinet FortiGuard Labs. dijo en un informe del jueves.
El problema, rastreado como CVE-2022-22954 (puntuación CVSS: 9,8), se refiere a una vulnerabilidad de ejecución remota de código que se deriva de un caso de inyección de plantilla del lado del servidor.
Aunque el proveedor de servicios de virtualización abordó la deficiencia en abril de 2022, desde entonces ha estado bajo explotación activa en la naturaleza.
Fortinet dijo que observó en agosto de 2022 ataques que buscaban armar la falla para implementar el botnet Mirai en dispositivos Linux, así como RAR1Ransom y guardiaminerouna variante del minero XMRig Monero.
La muestra de Mirai se recupera de un servidor remoto y está diseñada para lanzar ataques de denegación de servicio (DoS) y de fuerza bruta dirigidos a dispositivos IoT conocidos mediante el uso de una lista de credenciales predeterminadas.
La distribución de RAR1Ransom y GuardMiner, por otro lado, se logra mediante un PowerShell o un script de shell según el sistema operativo. RAR1ransom también se destaca por aprovechar la utilidad legítima WinRAR para iniciar el proceso de encriptación.
Los hallazgos son otro recordatorio de que las campañas de malware continúan explotando activamente las fallas reveladas recientemente para ingresar a los sistemas sin parches, por lo que es esencial que los usuarios prioricen la aplicación de las actualizaciones de seguridad necesarias para mitigar tales amenazas.
About the Author
