Trend Micro ได้พบมัลแวร์ตัวใหม่โดยตั้งชื่อว่า BlackSquid ซึ่งมีการใช้งานเครื่องมือโจมตีถึง 8 อย่างเพื่อโจมตีเป้าหมาย
นอกจากนั้น BlackSquid ยังมีความสามารถตรวจสอบว่าถูก Debug หรือตรวจสอบว่ารันอยู่ใน Sandbox โดยรูปแบบการติดมัลแวร์ตัวนี้ว่าเป็นไปได้ 3 ทางคือ web servers, network drives และ removable drives ปัจจุบัน BlackSquid มุ่งโจมตีเว็บเซิร์ฟเวอร์เพื่อขุดเหมือง Monero แต่ยังอยู่ในระหว่างการพัฒนาทำให้อาจมีการเปลี่ยนจุดมุ่งหมายในการโจมตีได้
เครื่องมือโจมตีถึง 8 อย่างใน BlackSquid ประกอบด้วยเครื่องมือแฮก EternalBlue และ DoublePulsar ของ NSA เครื่องมือโจมตีช่องโหว่ใน ThinkPHP สำหรับรุ่นที่แตกต่างกันสามรุ่น เครื่องมือโจมตีเพื่อใช้โค้ดจากระยะไกล (remote code execution) ผ่านทาง CVE-2014-6287 บน Rejetto HTTP File Server เครื่องมือโจมตีช่องโหว่ CVE-2017-12615 บน Apache Tomcat และเครื่องมือโจมตี CVE-1017-8464 บน Windows Shell
BlackSquid จะใช้ GetTickCount API เพื่อสุ่มหา live IP ของเว็บเซิร์ฟเวอร์จากนั้นจึงเริ่มการโจมตีผ่านการใช้ช่องโหว่หรือ Brute-force ซึ่ง BlackSquid จะทำการตรวจสอบเครื่องที่จะโจมตีก่อนโดยตรวจสอบปัจจัยต่างๆ อย่างเช่น Username, ไดร์ฟเวอร์ หรือ DLL เพื่อให้แน่ใจว่าไม่ในอยู่ใน sandbox, Virtual Machine หรือ Debugger มิฉะนั้นจะหยุดขั้นตอนการติดเชื้อและไม่แสดงพฤติกรรมน่าสงสัย
เมื่อ BlackSquid แน่ใจว่าตัวเองไม่ได้จากนั้นจึงเริ่มทำงาน ติดตั้ง XMRig เข้ามาเพื่อขุดเหมืองเงินดิจิทัล Monero และหากตรวจสอบพบว่าเครื่องเหยื่อใช้การ์ดจอ Nvidia หรือ AMD ก็จะมีส่วนประกอบเพิ่มเติมเพื่อใช้งาน GPU ร่วมขุดเหมืองด้วย นอกจากนี้ถ้า BlackSquid สามารถโจมตีช่องโหว่ CVE-1017-8464 บน Windows Shell ได้สำเร็จก็จะมีสิทธิ์ระดับเดียว local system user อีกด้วย ซึ่งอาจถูกใช้เพื่อเปิดช่องทางให้ผู้โจมตีเข้าควบคุมเครื่องเพื่อขโมยข้อมูลหรือใช้ประโยชน์อื่นๆ ได้

ที่มา :bleepingcomputer.