Novo malware EternalRocks utiliza sete exploits da NSA

Pesquisadores de segurança confirmaram a existência do novo malware EternalRocks, que utiliza sete exploits descobertos originalmente pela National Security Agency (NSA) e divulgados publicamente em abril pelo grupo Shadow Brokers.

Novo malware EternalRocks utiliza sete exploits da NSA

No início deste mês o ransomware WannaCrypt afetou hospitais e empresas no mundo todo. Ele utiliza dois exploit da NSA também divulgados pelo grupo Shadow Brokers: EternalBlue e DoublePulsar. Alguns dias depois os pesquisadores descobriram o malware Adylkuzz, que utiliza os mesmos dois exploit e cria botnets para mineração de Bitcoin.

E agora temos o malware EternalRocks. Miroslav Stampar, um dos especialistas em segurança do CERT na Croácia, descobriu evidências de ataque do malware na última quarta-feira, mas o malware começou a ser detectado no dia 3 de maio.

O EternalRocks utiliza os exploits EternalBlue, DoublePulsar, EternalChampion, EternalRomance, EternalSynergy, ArchiTouch e SMBTouch – todos divulgados publicamente pelo grupo Shadow Brokers.

Novo malware EternalRocks utiliza sete exploits da NSA
Boa parte das ferramentas listadas acima explora vulnerabilidades no Microsoft Windows Server Message Block (SMB). Vale lembrar que o ransomware WannaCrypt também explorou vulnerabilidades nele para infectar os PCs com Windows.

A Microsoft corrigiu as vulnerabilidades no SMB exploradas pelas ferramentas em março deste ano, mas quem não atualizou seus PCs ficou vulnerável aos ataques.

Diferente do ransomware WannaCrypt, que alerta as vítimas quando o PC é infectado, o malware EternalRocks permanece oculto nos PCs. Uma vez instalado, ele faz o download do navegador Tor e envia um sinal para o servidor de comando e controle do malware.

Depois desta etapa, o malware “espera” 24 horas por uma resposta do servidor. Com a resposta, o malware começa a fazer mais downloads e a se replicar.

Outro detalhe é que diferente do ransomware WannaCrypt, o EternalRocks não tem um mecanismo de ”autodestruição” e eliminá-lo pode ser um pouco mais difícil.

Miroslav Stampar publicou mais detalhes sobre o malware no GitHub.

via Baboo

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *