Una nueva forma de malware surgió de las profundidades para atacar a los servidores web con un aluvión de exploits diseñados para aterrizar a los mineros de criptomonedas ilegales.
El objetivo general es comprometer los servidores web, las unidades de red y el almacenamiento extraíble para instalar XMRig , un script de minero de criptomonedas de Monero, en las máquinas de destino.
El lunes, Trend Micro publicó sus hallazgos sobre el nuevo malware, denominado BlackSquid, que según la firma de ciberseguridad ha demostrado ser «especialmente peligroso».
Si bien muchas formas de código malicioso emplearán uno o dos ataques para vulnerabilidades conocidas en sistemas populares, BlackSquid difiere en este aspecto.
El malware utiliza una gama de las hazañas más peligrosas que existen actualmente, como EternalBlue ; DoublePulsar ; las vulnerabilidades de un error Rejetto HTTP File Server, CVE-2014-6287 , una falla de seguridad de Apache Tomcat, CVE-2017-12615 , y un problema de Windows Shell en Microsoft Server ( CVE-2017-8464 ), así como tres vulnerabilidades de ThinkPHP para Diferentes versiones del framework de desarrollo de aplicaciones web.
Además, BlackSquid es capaz de ataques de fuerza bruta, anti-virtualización, anti-depuración y anti-sandboxing técnicas, así como capacidades de propagación tipo gusano.
BlackSquid comienza su proceso de infección a través de uno de los tres puntos de entrada; Una página web infectada, exploits, oa través de unidades de red extraíbles.
BlackSquid utiliza la API GetTickCount para seleccionar aleatoriamente las direcciones IP de un servidor web para apuntar y verifica si las direcciones están activas. Si es así, comienza el ataque. El código malintencionado también puede iniciar una cadena de infección anteponiendo iframes maliciosos a las páginas web de destino.
ALD/zdnet.
