в ,

Вредоносная программа BlackSquid хочет обернуть свои щупальца вокруг веб-серверов и дисков

Новая web-атака

Вредоносная программа BlackSquid хочет заразить веб-сервера

Исследователи обнаружили новое семейство вредоносных программ, которое использует набор из восьми эксплойтов для взлома веб-серверов, сетевых дисков и съемных дисков.

Это вредоносное ПО, получившее название BlackSquid, обнаруживало удаление программ XMRig cryptominer, но злоумышленники могли легко использовать его для доставки других вредоносных данных на зараженные устройства, а также для получения несанкционированного доступа, повышения привилегий, кражи информации, отключения аппаратных и программных систем и многого другого, согласно сообщению в блоге сегодня Trend Micro.

«Наша телеметрия наблюдала наибольшее количество попыток атак с использованием BlackSquid в Таиланде и США в последнюю неделю мая», — предупреждает автор блога Джонлери Триунфанте.

В арсенал инструментов BlackSquid входят:

  • эксплойт EternalBlue Windows SMB, имплантат DoublePulsar,
  • три эксплойта ThinkPHP,
  • уязвимость файлового сервера Rejetto HTTP CVE-2014-6287,
  • уязвимость Apache Tomcat CVE-2017-12615 и ошибка Windows CVE-2017-8464.

Помимо использования уязвимостей, вредоносные программы могут также выполнять атаки методом перебора.

Все эксплойты были доступны на протяжении многих лет, поэтому пользователи могут легко защитить себя, загрузив давно просроченные обновления безопасности.

«BlackSquid может заразить систему с трех начальных точек входа:

  • через зараженную веб-страницу, посещенную из-за зараженных известных серверов;
  • через эксплойты в качестве основной начальной точки входа для заражения веб-серверов;
  • через съемные или сетевые диски», — продолжает сообщение в блоге.

Тем не менее, он отменит инфекцию в целях самосохранения, если обнаружит признаки среды песочницы или других нежелательных элементов.

EternalBlue и DoublePulsar

EternalBlue и DoublePulsar

EternalBlue и DoublePulsar, оба инструмента, связанные с Агентством национальной безопасности. Которые были похищены таинственной хакерской группой Shadow Brokers в 2017 году и используются BlackSquid для распространения по сети после первоначального заражения, поясняет Trend Micro. Вредонос использует CVE-2017-8464 для выполнения своих копий, которые он помещает в сеть и на съемные диски и использует другие эксплойты для атаки на веб-серверы различными способами.

TrendMicro сообщает, что BlackSquid загружает и запускает один или двух 64-разрядных компонента XMRig. Которые используют криптовалюту Monero. Первый компонент загружается в его ресурс и действует как основной майнер. Однако он также проверяет наличие видеокарт Nvidia и AMD с помощью языка запросов инструментария управления Windows. Если он находит видеокарту, он загружает второго майнера в систему, чтобы «найти ресурс графического процессора (GPU)».

«Учитывая свои методы уклонения и атаки, на которые он способен, BlackSquid представляет собой сложную вредоносную программу, которая может нанести значительный ущерб системам»заключает Triunfante

Однако Trend Micro заметил некоторый ошибочный код и намеренно пропущенные подпрограммы. Что говорит о том, что разработчики вредоносного ПО вероятно, находятся на стадии разработки и тестирования. Возможно, они изучают, как получить максимальную прибыль от атак, имея два компонента для майнинга, независимо от установленных ресурсов графического процессора в системе. Кроме того, они все еще могут пытаться определить конкретные цели, не вкладывая много капитала.

Поделиться:

Один пинг

  1. Уведомление:

Добавить комментарий

Перевод 25 160 BTC происходит за 40 минут до падения рынка

Перевод 25 160 BTC происходит с неизвестного кошелька на Coinbase за 40 минут до падения рынка

Новый CryptoTokenKit от Apple может стать трамплином для аппаратных кошельков

Новый CryptoTokenKit от Apple может стать трамплином для аппаратных кошельков