پشتیبانی 24/7 :

031-36691964 | 021-88203003

جستجو

بدافزار کاوش‌گر رمزارز جدید با نام BlackSquid

تیتر مطالب

به‌تازگی بدافزار جدیدی با نام BlackSquid شناسایی شده است که به منظور انتقال کاوش‌گر رمزارز، از اکسپلویت‌های مختلفی بهره می‌برد. هدف اصلی این بدافزار نصب اسکریپت کاوش رمزارز XMRig روی وب سرورها، درایوهای شبکه و دستگاه‌های ذخیره‌سازی قابل حمل است.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی ZDNet، بدافزار BlackSquid از اکسپلویت‌های خطرناکی از جمله EternalBlue، DoublePulsar، CVE-۲۰۱۴-۶۲۸۷ (اکسپلویت مربوط به باگ Rejetto HTTP File Server) و  CVE-۲۰۱۷-۱۲۶۱۵ (نقص امنیتی در Apache Tomcat) و CVE-۲۰۱۷-۸۴۶۴ (یک نقص Shell در Microsoft Server) و سه اکسپلویت مرتبط با ThinkPHP بهره می‌برد.
علاوه بر این اکسپلویت‌ها، BlackSquid دارای قابلیت‌های انجام حمله جستجو فراگیر (Brute-force)، ضد مجازی‌سازی، جلوگیری از دیباگ، تکنیک‌های ضد سندباکس و همچنین انتشار بصورت کرم است. فرایند آلودگی توسط این بدافزار از یکی از این سه نقطه آغاز می‌شود، یک صفحه وب آلوده، اکسپلویت‌ها یا درایوهای شبکه قابل حمل. به منظور جلوگیری از شناسایی و تحلیل، بدافزار بررسی‌های مختلفی مانند وجود نام‌کاربری، درایور یا DLLهایی که بیانگر سندباکس یا مجازی‌سازی هستند را انجام می‌دهد.
بدافزار پس از نفوذ به یک وب سرور، با استفاده از یک نقص اجرای کد از راه دور سطح دسترسی یک کاربر سیستمی محلی را بدست می‌آورد و سپس payloadهای نهایی را اجرا و در ادامه بدافزار خود را در شبکه منتشر می‌کند. payloadهای بدافزار BlackSquid دو مولفه کاوش رمزارز XMRig هستند که یکی از آن‌ها منبع آن است و دیگری در سرور آلوده دانلود می‌شود. در صورتی که یک کارت گرافیکی Nvidia و AMD در سیستم هدف یافت شود، مولفه دیگری منتقل می‌شود تا رمزارز بیشتری توسط پردازنده گرافیکی استخراج شود.

نشانه‌های آلودگی (IoC):
هش‌ها:

•    ۱۴f۸dc۷۹۱۱۳b۶a۲d۳f۳۷۸d۲۰۴۶dbc۴a۹a۷c۶۰۵ce۲۴cfa۵ef۹f۴e۸f۵۴۰۶cfd۸۴d
•    ۳۵۹۶e۸fa۵e۱۹e۸۶۰a۲۰۲۹fa۴ab۷a۴f۹۵fadf۰۷۳feb۸۸e۴f۸۲b۱۹a۰۹۳e۱e۲۷۳۷c
•    ۴bc۱a۸۴ddbbb۳۶۰e۳۰۲۶e۸ec۱d۰e۱eff۰۲a۱۰۰cf۰۱۸۸۸e۷e۲a۲ac۶a۱۰۵c۷۱۴۵۰
•    aa۲۵۹b۱۶۸ec۴۴۸۳۴۹e۹۱a۹d۵۶۰۵۶۹bdb۶fabd۸۱۱d۷۸۸۸۸c۶۰۸۰۰۶۵a۵۴۹f۶۰cb۰
•    ۴abb۲۴۱a۹۵۷۰۶۱d۱۵۰d۷۵۷۹۵۵aa۰e۷۱۵۹۲۵۳b۱۷a۱۲۴۸eaac۱۳۴۹۰a۸۱۱cdabf۹۰
•    ۵۱۵caf۶b۷ff۴۱۳۲۲۰۹۹f۴c۳e۳d۴۸۴۶a۶۵۷۶۸b۷f۴b۳۱۶۶۲۷۴afc۴۷cb۳۰۱eeda۹۸
•    ۸dbd۳۳۱۷۸۴e۶۲۰bb۰ca۳۳b۸۵۱۵ca۹df۹a۷a۰۴۹۰۵۷b۳۹a۲da۵۲۴۲۳۲۳۹۴۳d۷۳۰b۴
•    ۸۹۷۴da۴d۲۰۰f۳ca۱۱aa۰bc۸۰۰f۲۳d۷a۲be۹a۳e۴e۶۳۱۱۲۲۱۸۸۸۷۴۰c۸۱۲d۴۸۹۱۱۶
URLها:

•    hxxp://m۹f[.]oss-cn-beijing[.]aliyuncs[.]com/A[.]exe
•    hxxp[:]//m۹f[.]oss-cn-beijing[.]aliyuncs[.]com/Black[.]hta

 

منابع :

http://www.afta.gov.ir/

https://www.zdnet.com

https://blog.trendmicro.com