Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

BlackSquid: il malware più pericoloso del momento diffonde miner per Monero
- GIOVEDÌ 6 GIUGNO 2019


BlackSquid è un malware recente, recentissimo, ma che si è subito fatto conoscere: il potenziale di attacco che lo contraddistingue è impressionante, così come il tipo e il numero delle funzioni.  Anche gli strumenti di diffusione sono stati scelti per il loro potenziale: BlackSquid viene diffuso tramite diversi exploit, guarda caso quelli più efficaci in circolazione.  Per fare qualche nome, troviamo EternalBlue (si, l'exploit kit responsabile della diffusione di WannaCry), DoublePulsar e ben tre diversi exploit per ThinkPHP.

Come viene diffuso
I vettori di attacco, tramite i quali viene attualmente diffuso BlackSquid sono tre:
  • siti infetti;
  • attacchi contro i web server;
  • in misura molto minore, drive removibili come chiavette e hard disk esterni USB.
Le funzioni anti individuazione
BlackSquid per prima cosa ha molte funzioni che gli servono a difendersi da eventuali individuazioni: 
  • ha strumenti per individuare le virtual machine, spesso usate dai ricercatori per attirare i malware in una trappola e studiarne il comportamento;
  • ha strumenti anti-sandbox grazie ai quali sospende immediatamente ogni attività non appena "si rende conto" di essere finito dentro una sandbox. Ad esempio verifica il nome del dispositivo della vittima e cancella immediatamente l'infezione di routine se questo corrisponde ad esempio a Avira, sandbox, virtual, VBOX, NMSDBOX ecc....
  • ha strumenti anti-debugging per ridurre il rischio che qualche ricercatore possa avere e accesso e studiare il suo codice. 
Gli exploit
EternalBlue e DoublePulsar sono due exploit molto utilizzati, famosi per l'alta capacità di propagazione nella rete:  sotto l'exploit del Server Message Block (SMB)


Un altro exploit viene usato per eseguire una copia del malware nella rete o nei drives removibili: nel dettaglio viene sfruttata la vulnerabilità critica CVE-2017-8464, una falla di esecuzione di codice da remoto che spesso viene usata per ottenere i privilegi di amministrazione. 

Oltre alla propagazione nella rete, BlackSquid si diffonde anche sui webserver tramite wep app exploit. Utilizza, ad esempio, l'API GetTickCount per individuare un IP da colpire e verificare se l'indirizzo è attivo. Confermato lo status, avvia la connessione e attacca il target tramite exploit o attacchi a dizionario. 

Infine ci sono tre exploit ThinkPHP, per supportare più versioni di questo framework. 

Che cosa fa?
L'analisi dei ricercatori ha dimostrato che BlackSquid contiene un payload che installa XMRig: questo è uno dei miner più famosi e diffusi, che consente di sfruttare la potenza di calcolo del computer infetto per generare la criptovaluta Monero. 

Il Miner di Monero
Il payload è il noto miner per Monero XMRig: usa l'algoritmo Cryptonight per il mining di Monero. Quando il miner viene eseguito, crea una cartella con attributi nascosti ed esegue una copia di se stesso, quindi scarica sul pc un file di configurazione in formato. JSON, già criptato in base64. Scarica inoltre un file VBS che avvia la ricerca, su un server compromesso, di nuove varianti. Questo script viene poi eliminato dopo l'esecuzione. Nell'immagine sotto i file scaricati sulla macchina infetta.


Decriptando il file di configurazione, abbiamo notato che questo miner esegue anche una ricerca dei processi attivi sulla macchina collegati a soluzione antivirus, ma qui il codice presenta una falla: anche se il miner rintraccia un processo Antivirus non esegue alcuna operazione particolare: la scansione continua in cerca del processo successivo. Sotto alcuni dei processi AV in verifica. 
Il processo del miner non esegue alcuna attività dannosa collegata all'attività dei miner: si limita a iniettare il proprio codice in wupp.exe (per i SO a 32-bit) o in notepad.exe ( per i SO a 64-bit) e saranno questi a svolgere le attività di mining usando il file di configurazione.

Il computer subirà rallentamenti drastici delle performance, un consumo quasi totale del potenziale di calcolo e un livello di surriscaldamento variabile, ma verosimilmente dannoso per la componentistica hardware. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login