Os criminosos por trás do malware de mineração de criptomoedas RedTail adicionaram uma falha de segurança recentemente divulgada que afeta os firewalls da Palo Alto Networks ao seu arsenal de exploração.

A adição da vulnerabilidade do PAN-OS ao seu toolkit foi complementada por atualizações no malware, que agora incorpora novas técnicas anti-análise, de acordo com descobertas da empresa de segurança e infraestrutura web Akamai.

“Apenas algumas mudanças inteligentes foram feitas, mas tudo está funcionando do jeito que eu imagino.” Ao relatar a história original, os pesquisadores de segurança Ryan Barnett, Stiv Kupchik e Maxim Zavodchik disseram: “Os perpetradores deram um passo adiante ao empregar pools de criptomoeda privados para obter maior controle sobre os resultados da mineração, apesar dos aumentos nos custos operacionais e financeiros.”

A sequência de infecção descoberta pela Akamai explora uma vulnerabilidade agora corrigida no PAN-OS rastreada como CVE-2024-3400 (pontuação CVSS: 10.0) que poderia permitir a um invasor não autenticado executar código arbitrário com privilégios de root no firewall.

Uma exploração bem-sucedida é seguida pela execução de comandos projetados para recuperar e executar um script shell bash de um domínio externo que, por sua vez, é responsável por baixar a carga útil do RedTail com base na arquitetura da CPU.

Outros mecanismos de propagação para o RedTail envolvem a exploração de falhas de segurança conhecidas em roteadores TP-Link (CVE-2023-1389), ThinkPHP (CVE-2018-20062), Ivanti Connect Secure (CVE-2023-46805 e CVE-2024-21887) e VMWare Workspace ONE Access e Identity Manager (CVE-2022-22954).