Porta aperta? Chiudila! Ragebot attacca la porta 5900 e infetta i pc tramite un worm

Abbiamo parlato, giusto qualche giorno fa, di Al Namrood (vedi qui l'articolo) un ransomware del quale è in diffusione la versione 2.0 in Italia: come detto questo ransomware non si diffonde coi classici sistemi, ovvero email di spam con allegati dannosi o via exploit kit. Al contrario attacca i server via desktop remoto, con un brute- force attack contro la porta RDP di default, la porta 3389.

In questi giorni è in diffusione non un ransomware, ma un trojan che usa lo stesso meccanismo di attacco: Ragebot.

Come si diffonde?

Il trojan Ragebot non è nuovo, è stato però migliorato e affinato e messo in distribuzione"in the wild" in una nuova versione: è stato modificato il meccanismo di diffusione, cioè questa versione sfrutta, per diffondersi sui PC Windows, un worm.

Il worm per prima cosa sfrutta un sistema di scansione che cerca terminali che utilizzino la porta 5900 per i servizi di controllo remoto (VNC): una volta individuati, tenta  un attacco di brute force per accedere, sfruttando una lista di quasi 300 password.  Se ottiene l'accesso al sistema si collega ad un server FTP e scarica l'eseguibile dello scanner: lo eseguirà e avvierà una nuova scansione in cerca di altre vittime.  A questo punto Ragebot creerà una copia di sè stesso nelle cartelle condivise dei programmi P2P e ICQ (vecchio servizio di chat, ormai poco diffuso) e non solo: ecco l'elenco

\Program Files\LimeWire\Shared
\Program Files\eDonkey2000\incoming
\Program Files\KAZAA
\Program Files\Morpheus\My Shared Folder\
\Program Files\BearShare\Shared\
\Program Files\ICQ\Shared Files\
\Program Files\Grokster\My Grokster\
\My Downloads\Tutte le funzioni sono gestite tramite comunicazione con un server C&C che comunica col malware attraverso un canale IRC (sotto)

Che cosa fa?
Ragebot può eseguire, a seconda dei comandi che riceve, moltissimi tipi di operazione.

!commands – visualizza informazioni sui comandi ricevuti
!botinfo – visualizza informazioni sul bot
!rarworm – avvia l’infezione degli archivi RAR
!xpl – esegue un attacco di brute forcing verso i nodi VNC
!p2p – avvia l’infezione dei software P2P
!vncstop – ferma la scansione dei VNC host
!disconnect – interrompe la connessione
!reconnect – ripristina la connessione
!restart – riavvia
!part – abbandona i canali di chat
!join – avvia il collegamento al canale IRC
!b0tk1ller – termina i processi definiti in elenco
!nick – assegna un nome al trojan sul canale IRC
!h< password > – rimuove o scarica un file eseguibile (la password serve per l’autorizzazione)

L'arma in più...
Ragebot ha due particolarità: la prima è che è dotato di un sistema di autodifesa simile a quello di un antivirus. Controlla cioè l'esecuzione dei processi sul sistema, consentendo solo quelli indispensabili (che sono contenuti in una white list contenuta nel codice del trojan) e blocca tutti gli altri.  La seconda arma è che Ragebot cerca i file .RAR locali e vi si inietta all'interno. E' un vero e proprio sistema secondario di propagazione. L'utente che decomprime l'archivio, troverà al suo interno l'eseguibile del malware (che di solito avrà nomi del tipo "installer.exe" o "setup.exe" o 

"self-exctractor.exe", nomi generici che non attirano molto l'attenzione). Il clic avvierà l'infezione.

Un consiglio...

Usate solo password molto solide e sicure per le porte.