FortyGuard Lab acaba de descubrir una nueva versión del malware StealthWorker, también llamado GoBrut, escrito en el lenguaje de programación Golang. Se trata de un software malicioso de fuerza bruta vinculado a un sitio web de comercio electrónico comprometido con un skimmer incorporado, que roba información personal del cliente y los detalles del pago.
Antes de que los atacantes puedan insertar un skimmer deben tener acceso al backend del sitio y así aprovechan las vulnerabilidades del Sistema de Gestión de Contenido (CMS) o de sus plugins, para acceder al mismo. También utilizan ataques de fuerza bruta, que aún sigue siendo efectivo frente a usuarios que utilizan contraseñas débiles o comunes.
Anteriormente, StealthWorker sólo afectaba a equipos con Windows, pero la nueva variante ahora también infecta a Linux y a dispositivos IoT con ARM y MIps.
Se recomienda lo siguiente:
- Para víctimas infectadas: cambiar de inmediato todas las contraseñas que utilicen en línea, especialmente las guardadas en los navegadores
- Bloquear comunicación bidireccionalmente de las direcciones IP’s y dominios indicados en tráfico perimetral.
- Contar con un antivirus actualizado.
- Mantener una buena estrategia de respaldo de información.
- Bloquear todas las IoC basadas en la URL e IP en el firewall, IDS, puertas de enlace web, routers u otros dispositivos basados en el perímetro.
- Asegurarse de que el equipo de SOC monitoree la actividad del malware y la actividad anormal de las ejecuciones de Powershell.
| Producto | Versión |
|---|---|
| Microsoft Windows |
7 8 8.1 10 |
| Linux |
Ubuntu Debian CentOS |
| Tipo | Indicador |
|---|---|
| hash | d488a660e43cd1630e322dfa4f0... |
| hash | f6aee9551c4bf5d02dee8350fd6... |
| hash | fec7930ecd6e84971d5d66ffb16... |
| hash | 06ac28e2a1a82135b6d33d9b4ee... |
| hash | 268de438bdbe7d2d7b38ab15003... |
| url | http://5.45.69.149:7000 |
| url | http://5.101.0.13:7000 |
| url | http://185.205.209.131:7000 |