BlackSquid Usa 7 Exploits para infectar servidores web com Miners

Uma ameaça de criptografia recentemente descoberta, direcionada a servidores web, unidades de rede e unidades removíveis, vem repleta de explorações e precauções contra ferramentas e ambientes de análise.

O objetivo final é transformar máquinas comprometidas em plataformas de mineração da Monero. Para chegar lá, o malware puxa para fora vários truques interessantes que visam infectar com sucesso o alvo e evitar a análise.

Entenda o Grande saco de truques

Os pesquisadores de segurança descobriram exploits para diferentes vulnerabilidades. Um deles é o EternalBlue da NSA, três são para várias versões do ThinkPHP; outros três são para obter a execução remota de código via CVE-2014-6287 (afeta Rejetto HFS), CVE-2017-12615 (afeta o Apache Tomcat) e CVE-2017-8464 (afeta o Windows Shell).

Ao usar múltiplas explorações voltadas a servidores da Web, o malware aumenta sua taxa de sucesso para infectar uma máquina.

Para evitar o escrutínio dos pesquisadores de malware, uma vez que o BlackSquid tenha acesso a um servidor, ele verifica sinais de um ambiente de análise, como uma máquina virtual, um sandbox ou um depurador.

Uma vez que compromete uma máquina, o criptomomanto atrasa sua rotina até certificar-se de que o sistema em que está instalado não tenha um nome comum a emuladores de hardware conhecidos ou uma ferramenta sandbox ou um modelo de unidade de disco que indique um ambiente de análise.

‘O malware também verifica os pontos de interrupção de hardware dos pontos de interrupção, especificamente para os sinalizadores. Codificado em código, ele ignora a rotina se esse sinalizador estiver em 0, enquanto parece continuar com a infecção se o sinalizador estiver em 1. A partir deste por escrito, o código é definido como 0, o que significa que esse aspecto da rotina de malware ainda está em desenvolvimento ‘, explica a Trend Micro.

Se detectar um habitat inseguro, o BlackSquid interrompe a rotina de infecção e nenhum indicador malicioso ou suspeito é revelado. Por exemplo, tentar determinar sua natureza na plataforma de análise Qualquer Execução termina com a falsa conclusão de que uma ameaça não está presente.

Saltar de um sistema para outro é possível com a ajuda do EternalBlue e do backdoor DoublePulsar desenvolvido pela NSA. Essa combinação não é incomum para ameaças criptográficas.

Apesar de um patch estar disponível desde março de 2017 e o número de sistemas diretamente afetados estar nos milhares atualmente, as redes internas continuam desprotegidas.

As estatísticas de Elad Erez, diretor do Innovation Accelerator da Check Point, mostram que as redes corporativas abrigavam 601.000 sistemas vulneráveis ​​à EternalBlue em 20 de março. Os dados foram extraídos de uma ferramenta desenvolvida especificamente para as organizações testarem sua infraestrutura para o risco EternalBlue.

De acordo com a Trend Micro, o BlackSquid infecta servidores da web por meio de explorações de aplicativos da web. Usando a API GetTickCount, ele procura endereços IP ativos e os direciona para os exploits que incorpora e para a ação de força bruta.

Como complexo e bem construído o malware aparece, seu autor cometeu um erro que torna inutilizável o código de um dos exploits do ThinkPHP. O erro é um erro de digitação simples que tem a letra ‘l’ em vez do número ‘1’.

Dois componentes de mineração de criptomoeda XMRig são implantados como a carga útil final em sistemas comprometidos. Ambos são para máquinas de 64 bits e estão disponíveis como um recurso nos arquivos de malware e como um download.

O componente nos recursos é responsável por determinar o tipo de placa de vídeo instalada no sistema. Se o hardware Nvidia ou AMD estiver presente, o segundo componente é baixado e a mineração é iniciada.

Se for bem-sucedido, esse malware pode permitir que um invasor aumente privilégios e acesso não autorizados, roube informações exclusivas, inutilize hardware e software ou ative ataques em uma organização (ou mesmo de uma organização para outra).

Pela complexidade que mostra, o BlackSquid ainda pode estar em fase de desenvolvimento, diz a Trend Micro. Eles podem estar testando os diferentes tipos de ataques e determinar alvos sem gastar muito esforço. A mineradora Monero é a carga final nos compromissos vistos pelos pesquisadores, mas os atacantes podem mudá-la para uma ameaça diferente.

E O que você acha sobre esses exploits ? Deixe um comentário abaixo e não deixe de visitar o nosso site: www.deltaservers.com.br para acompanhar as nossas novidades.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.