La botnet DarkIRC persigue explotar servidores Oracle WebLogic vulnerables

Los investigadores de Juniper Threat Labs han notificado hasta 5 tipos de ciberataques contra más de 3000 servidores Oracle WebLogic expuestos, entre los que destaca una botnet denominada DarkIRC.

El objetivo de los cibercriminales es explotar la vulnerabilidad identificada por CVE-2020-14882, ya reportada por el investigador Voidfyoo de Chaitin Security Research Lab y parcheada en las actualizaciones críticas de Oracle de octubre del 2020.

La botnet en cuestión realiza un algoritmo de generación de dominio de control y comando (C&C) único que se basa en el valor enviado de una billetera criptográfica en particular. Actualmente, DarkIRC se está vendiendo en foros clandestinos por $75 USD.

El malware incluye capacidades como: actuar como keylogger, descargar archivos y ejecutar comandos en el servidor infectado, robar credenciales, propagarse a otros dispositivos a través de los comandos MSSQL y RDP (en ambos casos por fuerza bruta), SMB o USB, así como realizar ataques DDoS y robar transacciones bitcoin en el sistema infectado, mediante la implementación de un clipper que cambia la dirección de la cartera de bitcoin copiada a la dirección de la cartera de bitcoin del operador del malware.