La società di sicurezza informatica Trend Micro ha annunciato di aver trovato un malware soprannominato BlackSquid, che infetta i web server installando software di mining tramite otto exploit diversi e. I risultati sono stati annunciati in un post pubblicato il 3 giugno.
Secondo il rapporto, il malware prende di mira web server, unità di rete e unità rimovibili, sfruttando delle vulnerabilità e talvolta tramite attacchi brute force. Più precisamente, il software in questione utilizza "EternalBlue; DoublePulsar; gli exploit per CVE-2014-6287, CVE-2017-12615 e CVE-2017-8464; e tre exploit ThinkPHP per più versioni. "
Nonostante il campione acquisito da Trend Micro installi XMRig, un software che mina Monero (XMR) tramite CPU, non è escluso che BlackSquid possa utilizzare mezzi alternativi. Secondo i dati di Trend Micro, la maggior parte delle istanze del malware in questione sono state rilevate in Thailandia e negli Stati Uniti.
Il malware può infettare un sistema utilizzando tre percorsi diversi: attraverso un sito web ospitato su un server infetto, sfruttando degli exploit, oppure tramite delle unità rimovibili o di rete. BlackSquid elimina inoltre il protocollo di infezione se rileva che il nome utente, il driver del dispositivo o il modello dell'hard drive suggeriscono che il software viene eseguito all'interno di un ambiente sandbox.
Come riportato da Cointelegraph, si pensa che circa 50.000 server in tutto il mondo siano stati infettati da un malware di cryptojacking che mina la privacy-coin open ource "Turtlecoin" (TRTL).
A maggio, Trend Micro ha inoltre rilevato che i criminali informatici stanno sfruttando la vulnerabilità CVE-2019-3396 del software Confluence, uno strumento di produttività sviluppato da Atlassian, per minare criptovalute tramite.