بدافزار جدیدی به نام BlackSquid شناسایی شدهاست که به منظور انتقال کاوشگر رمزارز از اکسپلویتهای مختلفی بهره میبرد.
منبع : مرکز مدیریت راهبردی افتا
بدافزار جدیدی به نام BlackSquid شناسایی شدهاست که به منظور انتقال کاوشگر رمزارز از اکسپلویتهای مختلفی بهره میبرد.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار BlackSquid از اکسپلویتهای خطرناکی از جمله EternalBlue، DoublePulsar، CVE-۲۰۱۴-۶۲۸۷ (اکسپلویت مربوط به باگ Rejetto HTTP File Server) و CVE-۲۰۱۷-۱۲۶۱۵ (نقص امنیتی در Apache Tomcat) و CVE-۲۰۱۷-۸۴۶۴ (یک نقص Shell در Microsoft Server) و سه اکسپلویت مرتبط با ThinkPHP بهره میبرد. هدف اصلی این بدافزار نصب اسکریپت کاوش رمزارز XMRig روی وب سرورها، درایوهای شبکه و دستگاههای ذخیرهسازی قابل حمل است.
علاوه بر این اکسپلویتها، BlackSquid دارای قابلیتهای انجام حمله جستجو فراگیر (Brute-force)، ضد مجازیسازی، جلوگیری از دیباگ، تکنیکهای ضد سندباکس و همچنین انتشار بصورت کرم است. فرایند آلودگی توسط این بدافزار از یکی از این سه نقطه آغاز میشود، یک صفحه وب آلوده، اکسپلویتها یا درایوهای شبکه قابل حمل. به منظور جلوگیری از شناسایی و تحلیل، بدافزار بررسیهای مختلفی مانند وجود نامکاربری، درایور یا DLLهایی که بیانگر سندباکس یا مجازیسازی هستند را انجام میدهد.
بدافزار پس از نفوذ به یک وبسرور با استفاده از یک نقص اجرای کد از راه دور سطح دسترسی یک کاربر سیستمی محلی را بدست میآورد و سپس payloadهای نهایی را اجرا و در ادامه بدافزار خود را در شبکه منتشر میکند. payloadهای بدافزار BlackSquid دو مولفه کاوش رمزارز XMRig هستند که یکی از آنها منبع آن است و دیگری در سرور آلوده دانلود میشود. در صورتی که یک کارت گرافیکی Nvidia و AMD در سیستم هدف یافت شود، مولفه دیگری منتقل میشود تا رمزارز بیشتری توسط پردازنده گرافیکی استخراج شود.