O botnet Mirai está explorando duas falhas recentemente divulgadas nos dispositivos Ivanti Connect Secure (ICS) para entregar cargas maliciosas. Os cibercriminosos estão explorando as vulnerabilidades CVE-2023-46805 e CVE-2024-21887 para implantar o botnet.

A falha CVE-2023-46805 permite que invasores contornem a autenticação, enquanto a CVE-2024-21887 é uma vulnerabilidade de injeção de comando. Juntas, elas permitem que os atacantes criem uma cadeia de exploração capaz de executar códigos arbitrários e assumir o controle das instâncias vulneráveis.

O script de shell baixado é projetado para obter o malware do botnet Mirai a partir de um endereço IP controlado pelo atacante (“192.3.152[.]183”). Os pesquisadores alertam que a presença do Mirai por meio dessa vulnerabilidade pode indicar a chegada de outros malwares e ransomwares.

Enquanto isso, a SonicWall revelou que um falso executável do Windows File Explorer (“explorer.exe”) foi encontrado instalando um minerador de criptomoedas. O vetor exato de distribuição do malware ainda é desconhecido.