Een Kroatische beveiligingsonderzoeker heeft een nieuwe netwerkworm ontdekt die 7 tools en exploits gebruikt die van de Amerikaanse inlichtingendienst NSA afkomstig zijn. De worm wordt EternalRocks genoemd, maar de oorspronkelijke naam is "MicroBotMassiveNet".
EternalRocks verspreidt zich via het SMB-lek in Windows dat ook door de WannaCry-ransomware wordt aangevallen. Hiervoor maakt EternalRocks net als WannaCry gebruik van de EternalBlue-exploit van de NSA. Daarnaast gebruikt de worm ook nog drie andere SMB-exploits genaamd EternalChampion, EternalRomance en EternalSynergy. De updates voor deze exploits verschenen in maart, zo liet Microsoft eerder al weten.
Verder worden ook de DoubePulsar-backdoor van de NSA ingezet en twee progamma's genaamd SMBTouch en Architouch, zo blijkt uit een analyse van onderzoeker Miroslav Stampar?. De NSA-tools en -exploits werden door een groep hackers genaamd ShadowBrokers in april openbaar gemaakt. Beveiligingsbedrijf Heimdal Security waarschuwt dat deze worm, die het "BlueDoom" noemt, in tegenstelling tot WannaCry niet over een killswitch beschikt. De malware wordt inmiddels door 43 van de 62 virusscanners op VirusTotal herkend.
Deze posting is gelocked. Reageren is niet meer mogelijk.