El nuevo malware BlackSquid explota ocho vulnerabilidades para minar criptomonedas en secreto

Un nuevo programa malicioso ha emergido de los rincones oscuros de Internet para instalarse en secreto en los equipos de los internautas y minar monedas criptográficas en secreto. El malware, que recibió el nombre de BlackSquid, se propaga bombardeando servidores web con exploits para abrirse paso hacia las computadoras de los internautas.

La amenaza fue descubierta por la compañía de seguridad Trend Micro, que le dio el nombre basándose en los nombres de los registros que crea y el de sus archivos principales. La compañía ha advertido que esta amenaza es “particularmente peligrosa” por sus modos de distribución y su capacidad de mantenerse oculta.

BlackSquid utiliza ocho exploits conocidos, incluyedo EternalBlue, DoublePulsar, tres fallas en servidores (CVE-2014-6287, CVE-2017-12615, CVE-2017-8464) y tres vulnerabilidades en aplicaciones web (ThinkPHP).

Una vez que logra explotar las vulnerabilidades para irrumpir en el equipo, pone en práctica una serie de mecanismos para poder instalarse sin ser descubierta. Para ello, utiliza métodos anti-virtualización, anti-depuración y anti-sandbox antes de proceder con su instalación. El programa sólo se instala si está seguro de que no será interceptado por una solución de seguridad, por lo que tampoco procede si detecta que en el equipo de su potencial víctima se emplean ciertos nombres de usuario, algunos modelos de disco duro y controladores en particular y ciertos nombres en su biblioteca dinámica de enlaces (DLL).

Una vez que ha tomado estas precauciones y selecciona a sus víctimas para instalarse en sus equipos, BlackSquid adquiere comportamientos de gusano para propagarse. Es decir, puede replicarse a sí mismo para expandirse hacia otras computadoras dentro de una red. Además de irrumpir en los equipos explotando vulnerabilidades en servidores web, la amenaza puede propagarse a través de sitios web infectados, dispositivos extraíbles y unidades de red.

Cuando logra infectar el equipo, BlackSquid permite al atacante escalar sus privilegios para conseguir acceso a ciertos sectores del sistema sin autorización, roba información del propietario, deshabilita programas y partes del equipo y ejecuta ataques.

BlackSquid utiliza dos componentes XMRig para minar monedas criptográficas: utiliza una de ellas por defecto, usando los recursos del equipo para minar las monedas, pero el segundo componente sólo entra en acción si encuentra una tarjeta de video, como las de Nvidia y AMD, que le permita utilizar recursos adicionales.

Hasta ahora la mayoría de los ataques de BlackSquid se han detectado en Tailandia y Estados Unidos, y aunque es una amenaza que recién está surgiendo, su periodo más activo ha sido la última semana de mayo.

Es posible que la amenaza todavía se encuentre en periodo de prueba, ya que muchas de sus técnicas y componentes todavía pueden encontrarse gratis en los mercados negros virtuales. A juzgar por su potencial y capacidad, los investigadores creen que el programa podría realizar ataques en el futuro que no estén limitados a la minería de monedas criptográficas. Mientras tanto, la forma más eficiente de mantener los equipos protegidos ante esta amenaza es parchando las vulnerabilidades y manteniendo las soluciones de seguridad siempre actualizadas.

Fuentes
BlackSquid Windows malware has eight exploits in its arsenal • IT Wire
New cryptocurrency mining malware is spreading across Thailand and the US • The Next Web
BlackSquid malware uses bag of exploits to drop cryptocurrency miners • ZDNet