martedì 11 ottobre 2016

Ransomware Alert: CryLocker usa Imgur per inviare le informazioni sulle vittime


La maggior parte dei ransomware inviano direttamente le informazioni ai loro server Command&Control (C&C): da qualche tempo però abbiamo assistito alla diffusione di alcuni ransomware che non seguono più “questo protocollo”, ma che, invece, usano altri sistemi per recuperare le informazioni delle vittime.

Una delle ultime famiglie di ransomware, CryLocker (che viene solitamente rilevato come RANSOM_MILICRY.A) ad esempio sfrutta, per questo funzione, il famoso sito di image hosting  gratuito Imgur che permette agli utenti di caricare e condividere online con altri utenti.

E’ questa la prima volta che si osserva  l’uso del formato PNG per raccogliere informazioni relative ad un sistema infetto: questo ransomware cioè invia il file PNG contenete le informazioni sulla vittima in uno specifico album su Imgur, meccanismo che garantisce una più ampia possibilità di evadere all’individuazione di restare nascosto nel sistema.

Imgur è stato informato dell’uso che viene fatto del proprio servizio, ovviamente.
Attualmente si conoscono già circa 8000 casi di infezione, sparsi nel mondo: a meno di cambiamenti, non pare quindi essere in corso una campagna mirata verso alcuni tipi specifici di utenti. 

Come si diffonde?
E' stato diffuso tramite una prima campagna di malvertising che ha sfruttato l’exploit kit Rig. Qualche settimana dopo, un’altra campagna di malvertising lo diffondeva invece attraverso l’exploit kit Sundown e con qualche piccola modifica, ad esempio era stato modificato il wallpaper con la richiesta di riscatto.
 






Come funziona?
Cripta i file e ne modifica l’estensione in “.CRY”.  Prima di criptare i file, esegue una copia dei file, la cripta e infine cancella gli originali. Questo lascia la possibilità di utilizzare qualche tool di recupero dei file/dischi, ma può funzionare solo per file più piccoli di 20 MB.
Tra le informazioni che ruba troviamo le informazioni sulla linea Wi-fi da cui è connessa la vittima (Mac, SSD ecc..), ma tenta anche la geolocalizzazione dell’utente o la localizzazione del browser.

Il ransomware cerca comunque il file C:\Temp\lol.txt: se non lo trova inizia la criptazione dei file, se lo trova invece il ransomware non esegue nessuna criptazione.
Finita la criptazione, cancella le copie scado e mostra la nota di riscatto.

Una particolarità: il ransomware verifica la lingua del sistema operativo. Non cripterà ne cancellerà alcun file, ma anzi si limiterà ad uscire dal sistema. Se riscontra, come lingue in uso, le seguenti:
-bielorusso
-kazako
-ucraino
-uzbeko
-russo

E se l’invio dell’immagine non ha funzionato?
Come detto in precedenza, questo malware tenta di inviare informazioni dal sistema a uno specifico album su Imgur. Se questo fallisce, invia i dati a pastee.org, un paste tool service simile a Pastebin. Tuttavia, questo server sembra essere  attualmente offline.
Un’altra alternativa è la spedizione delle informazioni  a un indirizzo IP via UDP (porta 4444) quando l’invio a Imgur o Pastee non lavora nel modo giusto o se la dimensione dei file è piccola. 

Nessun commento:

Posta un commento