Trend Micro: malware BlackSquid infecta servidores para instalar software de cryptojacking de Monero

A empresa de cibersegurança Trend Micro anunciou que descobriu um malware chamado BlackSquid que infecta servidores web com oito exploradores de segurança diferentes e instala um software de mineração. A descoberta foi anunciada em um post de bloc publicado em 3 de junho.

Segundo o relatório, o malware mira em servidores web, drives de rede e drives removíveis usando oito exploradores diferentes e ataques de força bruta. Mais precisamente, o software em questão implementa “EternalBlue e DoublePulsar; os exploradores para CVE-2014-6287, CVE-2017-12615, and CVE-2017-8464; e três exploradores ThinkPHP para versões múltiplas.”

Enquanto a amostra adquirida pela Trend Micro instala o software de mineração XMRig Monero (XMR), baseado na Unidade de Processamento Central, o BlackSquid também poderia fornecer outras cargas úteis no futuro. De acordo com os dados da Trend Micro, a maioria das ocorrências do malware em questão foi detectada na Tailândia e nos Estados Unidos.

O malware poderia infectar um sistema por três caminhos diferentes: através de um website hospedado em um servidor infectado, exploradores, e drives removíveis ou em rede. O BlackSquid também cancela o protocolo de infecção se detectar que o username, o dispositivo do drive ou o modelo do drive de disco sugerem que o software está rodando em um ambiente de testes.

Como o Cointelegraph recentemente noticiou, até 50.000 servidores ao redor do mundo alegaram terem sido infectados por um malware de cryptojacking avançado, que faz mineração da criptomoeda de código aberto focada em privacidade, a Turtlecoin (TRTL).

No começo de maio, a Trend Micro também disse que cibercriminosos estão explorando as conhecidas vulnerabilidades CVE-2019-3396 para mineração cripto no software Confluence, uma ferramente de produtividade em espaços de trabalho feita pela Atlassian.