Ранее неизвестный образец вредоносного ПО, получивший название BlackSquid, выявили специалисты по информационной безопасности. Зловред, обладающий свойствами сетевого червя, использует несколько известных эксплойтов, чтобы проникнуть на целевую машину и установить полезную нагрузку. В качестве последней выступает криптомайнер XMRig, однако исследователи отмечают, что новичок способен доставлять на зараженные компьютеры и другие модули.

Аналитики впервые зафиксировали атаки BlackSquid в последнюю неделю мая; наибольшее количество попыток заражения наблюдалось в США и Таиланде. По словам ИБ-экспертов, новый зловред может попасть в систему в результате посещения вредоносной страницы, эксплуатации уязвимости в веб-приложении или службе, а также со сменного либо сетевого диска. Программа применяет несколько эксплойтов, в том числе CVE-2014-6287, CVE-2017-12615, CVE-2017-8464 и CVE-2017-0144 (EternalBlue).

Помимо этого, BlackSquid способен проводить брутфорс-атаки для получения доступа к целевой системе. Чтобы найти следующую жертву, зловред применяет API GetTickCount для случайной выборки IP. Если сетевой адрес отвечает, программа пытается подобрать для взлома подходящий эксплойт или пароль.

BlackSquid также обладает широким набором функций, препятствующих его обнаружению. Вредонос прекращает работу, если обнаружит на устройстве имя пользователя, метку тома либо название библиотеки, указывающие на наличие песочницы, антивируса или виртуальной машины.

По мнению специалистов, вредоносная программа все еще находится в стадии доработки и тестирования. На это указывает наличие точек останова — специальных меток, которые обычно используются для прерывания работы приложения и вызова отладчика. Кроме того, анализ показал, что отдельные эксплойты в составе BlackSquid неработоспособны, поскольку содержат ошибки.

В марте этого года аналитики обнаружили еще один червь, нацеленный на распространение криптомайнера XMRig. Модульный зловред PsMiner, так же как и BlackSquid, имел в своем арсенале эксплойты для нескольких уязвимостей, чтобы взломать защиту целевого устройства. Криминальный комплект состоял из PowerShell-скрипта и загрузчика, написанного на языке Go.

Категории: Вредоносные программы, Уязвимости