¿Qué es el malware Prowli?

La llamada operación Prowli. Así ha sido apodado el nuevo malware con el que los ciberdelincuentes han infectado más de 40,000 servidores web, módems y otros dispositivos IoT. La campaña ha estado diseminando malware e inyectando código malicioso para hacerse cargo de servidores y sitios web de todo el mundo utilizando diversas técnicas de ataque, incluido el uso de exploits, contraseñas brutas y abuso de configuraciones débiles.

Este malware ha afectado a unos 40000 máquinas entre las que hay varios dominios relacionados con las finanzas y bancos, educación y organizaciones gubernamentales.

¿Cómo son los ataques de Prowli?

• Uso de varios exploits y ataque de fuerza bruta a sitios de wordpress y Joomla.
• Uso de una vulnerabilidad de HP Data Protector.
• Adivinación de contraseñas por fuerza bruta de sitios en Drupal, PhpMyAdmin y cajas NFS
• Acceso al panel de administración de modems DSL Adivinación de credenciales SSH por fuerza bruta

Los piratas informáticos utilizaron un minero de Monero y el gusano r2r2, una pieza de malware utilizada para lanzar ataques de fuerza bruta SSH desde los dispositivos pirateados.

¿Cómo protegerse de Prowli?

Actualizar los servidores, CMS, routers y dispositivos IoT y cambar las contraseñas y hacerlas más seguras para sus dispositivos.

Más información en la página de Guardicore https://www.guardicore.com/2018/06/operation-prowli-traffic-manipulation...