La fantasia e l’inventiva degli Hacker non dà un attimo di respiro ai cybernauti. Non fanno a tempo a placarsi le acque agitate dal ramsonware Wannacy, che già si diffonde il panico per la diffusione di un nuovo malware. È stato un membro del Cert governativo croato ad individuare EternalRocks, il nuovo virus informatico che sfrutta l’exploit EternalBlue. Già utilizzato dal ramsonware wannacry, UIWIX e dal cryptominer Adylkuzz, il malware EternalBlue potenzialmente potrebbe innescare una campagna di infezioni molto più vasta di quella di WannaCry – affermano gli esperti di sicurezza del Cert Nazionale italiano.
Il nuovo virus è stato battezzato bluedoom dai ricercatori della Heimdal Security che lo hanno analizzato.
BlueDoom per il momento non ha funzionalità malevole
L’azienda rumena Heimdal Security spiega che gli esemplari scoperti per il momento non eseguono funzionalità malevole. BlueDoom rimane comunque un worm e, se per ora non crea disagi agli utenti bloccando il computer, è sempre meglio conoscerne il funzionamento e correre subito ai ripari. Il virus agisce in due fasi, spiegano gli informatici del Cert Nazionale italiano: infetta il pc sfruttando l’exploit EternalBlue nella prima fase; mentre nella seconda scarica il playload del malware sul sistema. Una volta che è riuscito ad entrare dentro il sistema, il worm scarica tutti gli strumenti necessari a lanciare l’eseguibile “UpdateInstaller.exe” – un componente di EternalRocks – attraverso cui si connette sul server C&C della rete TOR.
Come tutti i programmi ideati dagli hacker anche questo componente del virus BlueDoom fa di tutto per non essere intercettato, rimanendo “in stasi” per 24 ore. Alla fine del suo periodo di quiescenza, il malware si riattiva e lancia il suo componente principale, l’eseguibile “taskhost.exe”. A raffica vengono quindi lanciati diversi playload nella cartella “C:\config”, che contengono i 7 diversi exploits – codici che sfruttano la vulnerabilità dei software e che sono stati sottratti dalla NSA - diffusi dal gruppo The Shadow Brokers (TSB): ArchTouch, DoublePulsar, Eternalblue, EternalChampion, EternaRomance, EternalSynergy e SMBTouch.
Oltre a questi sette codici BlueDoom scarica anche molti altri componenti in “C:\payloads” e “C:\bin”.
Differenze con WannaCry
Il virus BlueDoom non contiene, a differenza di WannaCry, un “kill switch”. Si può evitare di eseguire più di una volta il malware EternalRocks/BlueDoom sul sistema già compromesso, rendendo così immune la macchina, eseguendo il mutex creato dallo stesso worm: BaseNamedObjects\[8F6F00C4-B901-45fd-08CF-72FDEFF].
Per gli esperti i danni che potrebbe creare EternalRocks/BlueDoom sarebbero molto più vasti ed estesi di quelli provocati da WannaCry, vista la quantità di dati, DLL ed eseguibili scaricati sui personal computer infetti dal malware. La buona notizia è che, al momento, gli antivirus più diffusi ed usati dagli utenti sono in grado di proteggere in modo molto efficace l’attacco del virus, rassicurano gli esperti del Cert Nazionale. Il consiglio è quello di aggiornare il proprio sistema operativo seguendo le procedure già fornite nel caso di WannaCry, solo in questo modo si è sicuri di evitare di cadere vittime di questa nuova minaccia informatica.
