Vulnerabilità di Sicurezza in XWiki
Secondo un recente rapporto, gli hacker stanno sfruttando una vulnerabilità di sicurezza in XWiki, una piattaforma web per la creazione di contenuti, per eseguire programmi su computer di terzi. Il bug nel sistema dei modelli di XWiki ha consentito ai malintenzionati di estrarre la criptovaluta Monero (XMR) senza autorizzazione.
Meccanismo di Attacco
Gli hacker inviano una richiesta che scarica un piccolo programma (x640) sul computer di una vittima. Successivamente, un’altra richiesta esegue questo programma, il quale scarica ulteriori due script (x521 e x522) che installano un miner di Monero (tcrond) e lo attivano, interrompendo qualsiasi altro processo di mining sulla macchina infetta.
Flusso di Criptovaluta
I token Monero estratti tramite il computer compromesso vengono poi inviati a c3pool.org.
Altre Vulnerabilità e Raccomandazioni
Il rapporto di Hacker News, che cita dati della CISA, ha anche menzionato vulnerabilità di sicurezza in DELMIA Apriso, che hanno permesso agli hacker di eseguire codice da remoto in modo simile.
Coloro che potrebbero essere stati vittime di cryptojacking, la pratica di estrarre illegalmente criptovalute utilizzando la macchina di qualcun altro, dovrebbero:
- Bloccare gli indirizzi IP sospetti
- Monitorare la rete per connessioni a c3pool.org
- Rimuovere i file associati al miner se vengono trovati sul computer.
