Эксперты Trend Micro обнаружили любопытную угрозу BlackSquid, которая заражает веб-серверы, сетевые диски и съемные носители малварью для добычи криптовалюты Monero. В настоящее время большинство пострадавших были обнаружены в Таиланде и США.
Свои цели вредонос атакует при помощи эксплоитов для веб-приложений: с помощью API GetTickCount BlackSquid ищет случайные активные IP-адреса, а затем применяет против них разные эксплоиты в сочетании с обычным брутфорсом.
Исследователи рассказывают, что в арсенале BlackSquid числятся сразу восемь эксплоитов: принадлежавшие АНБ EternalBlue и DoublePulsar (применяются для распространения по сети); три эксплоита для разных версий фреймворка ThinkPHP; еще три RCE-эксплоита для проблем CVE-2014-6287 (затрагивает Rejetto HFS), CVE-2017-12615 (затрагивает Apache Tomcat), а также CVE-2017-8464 (затрагивает на Windows Shell).
Чтобы не привлекать к себе лишнего внимания, получив доступ к системе, BlackSquid проверяет окружение на признаки любых странностей: ищет виртуальные машины, песочницы, дебаггеры, проверяет наличие определенных имен пользователей, драйверов и так далее. В итоге вредонос начинает работать лишь после того, как убедится, что оказался в безопасной среде.
Если малварь считает, что действовать дальше безопасно, она применяет RCE-уязвимость для получения нужных привилегий и дальнейшего распространения самой себя, одновременно выполняя финальные пейлоады.
Полезные нагрузки BlackSquid — это два компонента майнера XMRig. Оба ориентированы на 64-разрядные машины, и также умеют подгружать дополнительные модули для майнинга криптовалюты на видеокартах Nvidia и AMD (если таковые были обнаружены).
По мнению экспертов, пока BlackSquid находится в разработке, а его авторы тестируют различные типы и векторы атак. Исследователи предупреждают, что в теории BlackSquid весьма опасен, так как может использоваться не только для майнинга Monero, но и для хищения проприетарных данных, бесцельной траты мощностей железа и софта, а также для сложных атак на организации (в том числе для атак из сетей уже зараженных компаний на другие).