بدافزار انتقال کاوشگر ارزدیجیتال شناسایی شد
به گزارش سیلور 7، به گزارش خبرنگاران به نقل از معاونت بررسی مرکز افتا، هدف اصلی بدافزار BlackSquid نصب اسکریپت کاوش رمزارز XMRig روی وب سرورها، درایوهای شبکه و دستگاه های ذخیره سازی قابل حمل است.
بدافزار BlackSquid از اکسپلویت های خطرناکی از جمله EternalBlue، DoublePulsar، CVE-2014-6287 (اکسپلویت مربوط به باگ Rejetto HTTP File Server) و CVE-2017-12615 (نقص امنیتی در Apache Tomcat) و CVE-2017-8464 (یک نقص Shell در Microsoft Server) و سه اکسپلویت مرتبط با ThinkPHP بهره می برد.
علاوه بر این اکسپلویت ها، BlackSquid دارای قابلیت های انجام حمله جستجو فراگیر (Brute-force)، ضد مجازی سازی، جلوگیری از دیباگ، تکنیک های ضد سندباکس و همچنین انتشار به صورت کرم است.
فرایند آلودگی توسط این بدافزار از یکی از این سه نقطه آغاز می شود، یک صفحه وب آلوده، اکسپلویت ها یا درایوهای شبکه قابل حمل.
به منظور جلوگیری از شناسایی و تحلیل، بدافزار بررسی های مختلفی مانند وجود نام کاربری، درایور یا DLLهایی که بیانگر سندباکس یا مجازی سازی هستند را انجام می دهد.
بدافزار پس از نفوذ به یک وب سرور، با استفاده از یک نقص اجرای کد از راه دور سطح دسترسی یک کاربر سیستمی محلی را به دست می آورد و سپس payloadهای نهایی را اجرا و در ادامه بدافزار خود را در شبکه منتشر می کند.
payloadهای بدافزار BlackSquid دو مؤلفه کاوش رمزارز XMRig هستند که یکی از آن ها منبع آن است و دیگری در سرور آلوده دانلود می شود.
در صورتی که یک کارت گرافیکی Nvidia و AMD در سیستم هدف یافت شود، مؤلفه دیگری منتقل می شود تا رمزارز بیشتری توسط پردازنده گرافیکی استخراج شود.
نشانه های آلودگی (IoC) این بدافزار در سایت مرکز افتا آمده است.
منبع: خبرگزاری مهر