Trend Micro mette in guardia contro EternalRocks, nuovo malware “a orologeria” basato sugli exploit NSA già utilizzati dal noto ransomware WannaCry.
EternalRocks utilizza EternalBlue e DoublePulsar, i due exploit della National Security Agency (NSA) rivelati dal ShadowBrokers hacking group e già utilizzati dall’ormai famoso WannaCry. Inoltre, la nuova minaccia sfrutta anche altri cinque exploit simili: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch e SMBTouch. La maggior parte di questi exploit prende di mira il MicrosoftServer Message Block (SMB), che gestisce la condivisione degli accessi tra i nodi di una rete.
Dopo aver infettato l’obiettivo, EternalRocks ha un ciclo di installazione diviso in due fasi. Inizialmente, il malware scarica il TOR client per utilizzarlo come canale di comunicazione e per raggiungere il suo Command & Control (C&C) server. Il C&C server, però, risponde solo dopo 24 ore, tattica forse pensata per bypassare le analisi di sicurezza e le sandbox. Una volta che il C&C server risponde, invia il file zip shadowbrokers.zip che contiene gli exploit NSA. Una volta “spacchettato”, EternalRocks scansiona internet alla ricerca di sistemi con la porta 445 aperta, che utilizza per l’infezione.
Diversamente da WannaCry, EternalRocks sembra per ora mancare di un payload maligno. Tuttavia, la sua abilità di propagarsi molto in fretta a causa della sua componente infettiva significa che i sistemi infetti potrebbero subire gravi danni qualora il malware venisse effettivamente armato. Al momento EternalRocks non blocca i PC, non invia file corrotti, e non crea botnet: tuttavia lascia comunque i computer vulnerabili a comandi remoti. Il fatto che questa minaccia non abbia neanche un “interruttore di emergenza”, renderebbe molto più difficile fermare l’attacco.
Poichè EternalRocks utilizza gli stessi exploit di WannaCry, gli amministratori di sistema e gli utenti dovrebbero aggiornare subito i loro sistemi con la patch necessaria, qualora non lo avessero già fatto.
