Dopo WannaCry, il virus che ha terrorizzato le reti telematiche di tutto il globo, arriva un nuovo worm che preoccupa gli informatici: EternalRocks. Individuato da un esperto di sicurezza del Cert governativo della Croazia, il virus sfrutta l’exploit EternalBlue, già utilizzato in diverse campagne di malware, tra cui quelle dei ransomware WannaCry e UIWIX e del cryptominer Adylkuzz.

Il malware EternalRocks, come riportato sul sito del Cert Nazionale italiano – è stato anche analizzato dai ricercatori di Heimdal Security che lo hanno battezzato BlueDoom. Al momento, si spiega, gli esemplari scoperti non eseguono funzionalità malevole, come i già citati ransomware, ma si limitano a diffondersi agendo in due fasi: una prima fase di infezione che sfrutta l’exploit EternalBlue; una seconda fase in cui viene scaricato sul sistema il payload del malware.

Una volta penetrato in un sistema, il primo componente di EternalRocks, un eseguibile chiamato “UpdateInstaller.exe”, scarica gli strumenti necessari per connettersi ad un server C&C sulla rete TOR. Successivamente il componente rimane quiescente per un periodo di 24 ore, probabilmente allo scopo di non venire intercettato. Alla fine di questo periodo, l’eseguibile malevolo si riattiva e scarica ed esegue il componente principale del malware, l’eseguibile “taskhost.exe”.

Questo componente scarica a sua volte una serie di payload nella cartella “C:config” contenenti i seguenti 7 diversi exploit che fanno parte dell’arsenale di strumenti di hacking resi pubblici di recente dal gruppo Shadow Brokers: ArchTouch (tool di ricognizione SMB); DoublePulsar (backdoor); EternalBlue (SMBv1 exploit); EternalChampion (SMBv2 exploit); EternalRomance (SMBv1 exploit); EternalSynergy (SMBv3 exploit); SMBTouch (tool di ricognizione SMB).

Oltre a questi exploit, il malware scarica numerosi altri componenti in “C:payloads” e “C:bin”. A differenza di WannaCry, questo worm non contiene un “kill switch”. Per evitare che il malware venga eseguito più di una volta sui sistemi compromessi, EternalRocks/BlueDoom crea il seguente oggetto mutex: BaseNamedObjects{8F6F00C4-B901-45fd-08CF-72FDEFF}. È possibile quindi rendere una macchina immune dall’infezione di questo worm eseguendo un processo che crei a sua volta un mutex col valore indicato.

Gli esperti ritengono che, vista la quantità di exploit, DLL ed eseguibili scaricati sui computer infetti, EternalRocks/BlueDoom potrebbe innescare una campagna di infezioni potenzialmente ancora più vasta di quella di WannaCry. Al momento, conclude l’analisi del Cert Nazionale, la capacità di individuazione del componente principale di EternalRocks/BlueDoom da parte dei più diffusi antivirus risulta molto elevata. Per evitare di cadere vittime di questa nuova minaccia si raccomanda di aggiornare i propri sistemi seguendo le istruzioni già fornite per il caso di WannaCry.