Les chercheurs en sécurité de Trend Micro ont découvert récemment un nouveau type de logiciels malveillants baptisé BlackSquid permettant d’extraire secrètement de la cryptomonnaie. Ce malware utiliserait de nombreux exploits de serveur web dont EternalBlue, DoublePulsar, trois failles de sécurité du serveur (CVE-2014-6287, CVE-2017-12615, CVE-2017-8464) ainsi que trois vulnérabilités d’applications web (ThinkPHP). Grâce à ces exploits, BlackSquid peut télécharger et installer un mineur de cryptomonnaie de Monero « XMRig » dans les serveurs. Ce malware a été très actif au cours de la dernière semaine de mai et la majorité des attaques ont été identifiées en Thaïlande et aux États-Unis.
BlackSquid est capable de se dissimuler en utilisant les fonctions anti-virtualisation, anti-blocage et anti-bac à sable lors de son installation. De plus, il ne s’installe que lorsqu’il est sûr de ne pas être repéré. Ce malware se répandrait également à une vitesse exponentielle, car une fois qu’il a infecté un ordinateur du réseau, il va tenter d’infiltrer d’autres systèmes. Les attaques de BlackSquid se font via les pages web infectées, les serveurs compromis ou les lecteurs amovibles infectés. Quand BlackSquid n’est pas détecté, il installe une version du script d’exploration de monnaie XMRig sur l’ordinateur. Il analyse également le système infecté à la recherche d’une carte vidéo, car leur GPU constitue un excellent mineur de cryptomonnaie. Les internautes peuvent actuellement se protéger contre ce nouveau malware en mettant à jours leurs systèmes avec les derniers correctifs disponibles pour les exploits vulnérables.