I laboratori trend Micro, azienda specilizzata nelle soluzioni di sicurezza informatica, avvisano sulla pericolosità del nuovo malware EternalRocks. Questo malware utilizza EternalBlue e DoublePulsar, i due exploit della National Security Agency (NSA) rivelati dal ShadowBrokers hacking group e utilizzati dal famoso ransomware WannaCry, ma anche altri cinque exploit simili: EternalChampion, EternalRomance, EternalSynergy, ArchiTouch e SMBTouch. La maggior parte di questi exploit prende di mira il MicrosoftServer Message Block (SMB), che gestisce la condivisione degli accessi tra i nodi di una rete.
EternalRocks, dopo aver infettato l’obiettivo, ha un ciclo di installazione che si divide in due fasi. Nella prima il malware scarica il TOR client per utilizzarlo come un canale di comunicazione e per raggiungere il suo Command & Control (C&C) server. Il C&C server, sorprendentemente, non manda una risposta immediata ma dopo 24 ore e questa potrebbe essere una tattica per bypassare le analisi di sicurezza e le sandbox. Una volta che il C&C server risponde, invia il file zip shadowbrokers.zip che contiene gli exploit NSA. Una volta spacchettato, EternalRocks scansiona internet alla ricerca di sistemi con la porta 445 aperta, che utilizza per l’infezione virale.
EternalRocks al contrario di WannaCry sembra non avere nessun payload maligno, ma la sua abilità a propagarsi velocemente a causa della sua componente infettiva significa che i sistemi infettati possono subire gravi conseguenze nel momento in cui il malware venisse armato. Al momento il malware non blocca i PC, non invia file corrotti, non crea botnet, ma lascia comunque i computer infetti e vulnerabili a comandi remoti. Il fatto che questa minaccia non abbia neanche un interruttore di emergenza, renderebbe molto più difficile fermare l’attacco.
EternalRocks utilizza gli stessi exploit di WannaCry, gli amministratori di sistema e gli utenti dovrebbero patchare immediatamente i loro sistemi, se non lo hanno già fatto.