Botnet Prowli é usada para mineração de criptomoedas

De acordo com informações recentes, criminosos estão usando a botnet Prowli para mineração de criptomoedas e para redirecionar usuários para sites maliciosos.

Para quem não sabe, botnets são redes de computadores infectados controladas por criminosos e usadas para envio de spam, roubo de informações, ataques de negação de serviço (DDoS) e outras atividades criminosas.

Botnet Prowli

Composta por mais de 40.000 servidores web infectados, modems e dispositivos IoT comprometidos, a botnet Prowli foi descoberta pela equipe de segurança GuardiCore.

Bem diversa, ela faz uso de vulnerabilidades e credenciais obtidas através de ataques baseados na técnica conhecida como “brute force” para tomar o controle dos dispositivos.

Os seguintes tipos de servidores e dispositivos passaram a fazer parte da botnet nos últimos meses:

  • Sites baseados em WordPress (via múltiplos exploit e ataques brute force contra o painel de administração).
  • Sites baseados em Joomla! rodando a extensão K2 (via vulnerabilidade CVE-2018-7482)
  • Diversos modelos de modems DSL (usando uma conhecida vulnerabilidade).
  • Servidores rodando o HP Data Protector (via vulnerabilidade CVE-2014-2623)
  • Instalações do Drupal e PhpMyAdmin, dispositivos com NFS (etwork File System) e servidores com portas usadas pelo protocolo SMB expostas.

A botnet também opera um módulo de verificação de SSH que tenta adivinhar nomes de usuários e senhas de dispositivos com a porta do SSH exposta na Web.

Depois que os servidores ou dispositivos IoT são comprometidos, os criminosos por trás da botnet Prowli verificam se eles podem ou não ser usados para mineração da criptomoeda Monero.

Os que forem julgados capazes de serem usados para mineração serão infectados com o script necessário para isso e com o malware r2r2, que executa ataques brute force e visa ajudar a expandir a botnet.

As plataformas de gerenciamento de conteúdo usadas pelos sites e comprometidas pela botnet são infectadas com o backdoor WSO Web Shell. Com isso os sites são usados para hospedagem de códigos maliciosos e para redirecionar os usuários para outros sites também maliciosos.

O relatório completo da GuardiCore traz mais detalhes e está disponível aqui.