La società di sicurezza informatica Trend Micro ha dichiarato di aver trovato una nuova famiglia di malware, soprannominato dagli stessi ricercatori “BlackSquid”, ovvero “calamaro nero“, che infetta i server web, unità di rete e unità rimovibili installando software di mining tramite otto exploit diversi, tanti quanti sono i tentacoli di un calamaro.
Questo malware, spiegano i ricercatori, è particolarmente pericoloso per vari motivi: “impiega metodi anti-virtualizzazione, anti-debug e anti-sandbox per determinare se continuare con l’installazione o meno. Sfrutta tecniche di warming per la propagazione laterale e usa alcuni degli exploit più famosi oggi: EternalBlue; DoublePulsar; gli exploit per CVE-2014-6287, CVE-2017-12615 e CVE-2017-8464 e tre exploit ThinkPHP per più versioni”.
Inoltre, i cyber criminali potrebbero testare la fattibilità delle tecniche utilizzate nella routine di questo malware per ulteriori sviluppi. Uni dei casi analizzati da Trend Micro scaricava e installava un XMRig, un miner piuttosto conosciuto che consente di sfruttare la potenza di calcolo del computer compromesso per generare Monero, la cripto-valuta preferita dai cyber-criminali.
Tra le curiosità segnalate dagli esperti di Trend Micro, uno degli exploit contiene un errore nella codifica di uno degli exploit. I criminali hanno infatti inserito nel codice la lettera “I” al posto di “1”. L’errore, potrebbe rendere il comando inutile ma non compromette l’efficacia degli altri 7 exploit.
Secondo i dati di Trend Micro, la maggior parte dei casi il malware in questione è stato rilevato in Thailandia e negli Stati Uniti.
“Data la sua tecnica di evasione e gli attacchi di cui è capace, BlackSquid è un sofisticato malware che può causare danni significativi ai sistemi che infetta. In caso di successo, questo malware può consentire a un utente malintenzionato di aumentare l’accesso e i privilegi non autorizzati, sottrarre informazioni proprietarie, rendere inutili l’hardware e il software o lanciare attacchi contro un’organizzazione (o persino da un’organizzazione in un’altra). Ma considerando il codice errato e le routine ignorate di proposito, riteniamo anche che i criminali informatici alla base di questo malware siano probabilmente nelle fasi di sviluppo e test; potrebbero studiare come possono trarre il massimo vantaggio dagli attacchi con due componenti per l’estrazione, indipendentemente dalle risorse GPU installate dei sistemi. Raccomandiamo l’aggiornamento continuo dei sistemi con le patch rilasciate dai fornitori legittimi. Si consiglia alle imprese di abilitare un sistema di protezione multilivello in grado di bloccare attivamente le minacce e URL dannosi dal gateway all’endpoint”.
