Un nou malware, BlackSquid, minează criptomonede folosind 7 exploit-uri pentru a infecta aplicațiile web
BlackSquid este un nou malware care infectează serverele web folosindu-se de 7 exploit-uri pentru instalarea de programe de minare de criptomonede.
O amenințare nou descoperită de crypto-mining, care vizează serverele web, unitățile de rețea și unitățile de stocare amovibile, este îmbunătățită cu exploatări și măsuri de precauție împotriva instrumentelor de analiză și a mediilor virtuale, scrie cert.ro.
Scopul final este de a transforma mașinile compromise în resurse pentru minarea criptomonedei Monero. Cercetătorii în domeniul securității au descoperit exploit-uri pentru diferite vulnerabilități. Unul dintre ele este EternalBlue al NSA, trei sunt pentru mai multe versiuni ThinkPHP; alte trei sunt pentru execuția codului la distanță prin CVE-2014-6287 (afectează Rejetto HFS), CVE-2017-12615 (afectează Apache Tomcat) și CVE-2017-8464 (afectează Windows Shell), cercetări din rapoartele Trend Micro.
Malware-ul vrea să instaleze XMRig, un program de minare al Monero, pe serverele vizate. Trend Micro și-a publicat descoperirea luni, oferind detalii despre BlackSquid. Firma de securitate cibernetică spune că acesta este un malware „deosebit de periculos”, conform zdnet.com.
În plus, pe lângă cele șapte exploit-uri, BlackSquid poate lansa atacuri de tipul brute force, tehnici anti-virtualizare, anti-debugging, anti-sandboxing, precum și capacități de propagare ca un vierme.
BlackSquid începe procesul de infectare folosind unul din trei punct de intrare: o pagină web infectată, exploit-uri sau unități de rețea detașabile.
Malware-ul realizează o serie de verificări pentru a evita detecția sau analiza, precum prezența numelor de utilizator, a driverelor sau a semnelor care indică faptul că se află într-un mediu virtual sau sandbox. Odată intrat pe un server web, malware-ul se folosește de un defect pentru a obține aceleași privilegii de acces ca un utilizator local al sistemului și pentru a se propaga mai departe în timp ce rulează și programul de minare de criptomonedă.
Cercetătorii cred că având în vedere dezvoltarea și capacitățile BlackSquid din prezent este posibil ca pe viitor să fie folosite alte metode de a face bani în afară de minarea de criptomonede – și mai periculoase. Pentru a combate amenințarea BlackSquid din prezent, cel mai simplu este actualizarea adecvată a dispozitivelor. Deși exploit-urile folosite sunt periculoase, metode de remediere ale acestora sunt disponibile de ani de zile și ar trebui să fie aplicate serverelor web.
