Brad Duncan, analista di Palo Alto Network, ha individuato una campagna EITest che usa l'exploit kit RIG per distribuire il ransomware Matrix. Segnaliamo subito che Matrix è una vecchia conoscenza, nel senso che fu individuato a fine 2016 e pare essere proprio adesso tornato a cavalcare le scene. Non è mai stato un ransomware di punta. E' però interessante perché testa una caratteristica particolare, ovvero ha la capacità di comportarsi come un worm: riesce cioè a diffondersi all'esterno della macchina infetta attraverso i collegamenti di Windows. Questa caratteristica e le nuove modalità di diffusione lo hanno reso, almeno nelle ultime due settimane, un ransowmare molto pericoloso.
Matrix è stato individuato nel Dicembre 2016 e la sua diffusione non era minimamente comparabile con la diffusione dei due ransomware di punta di quel periodo, ovvero Cerber e Spora. Ora però Matrix ha affinato la propria modalità di distribuzione, optando per l'exploit kit RIG diffuso via EITest: ora ha le caratteristiche minime per una diffusione capillare.
Secondo Duncan, Matrix viene distribuito attraverso siti web che hanno subito l'iniezione dello script EITest. La particolarità è che quando una vittima naviga sul sito web infetto, può trovarsi di fronte due diversi scenari:
in un caso lo script dannoso tenta l'attacco di tipo "The HoeflerText font wans't found": mostra cioè un pop up che chiede il download e l'installazione di un certo font per visualizzare una pagina apparentemente illeggibile. Il download e l'esecuzione di questo file diffonde il ransomware Spora nella macchina della vittima.
Nel secondo caso invece si attiva l'exploit kit RIG e viene diffuso il ransomware Matrix. Una volta che l'Iframe di RIG viene caricato, l'exploit cerca tra i software più comuni una vulnerabilità sfruttabile per accedere alla macchina della vittima.
Matrix, il ransomware che si comporta come un worm?
C'è una ulteriore particolarità: come detto, alcune versioni di Matrix includono una caratteristica che consente loro di diffondersi e infettare altre macchine attraverso scorciatoie a cartelle. Matrix nasconde una cartella, quindi crea un collegamento con lo stesso nome. Crea quindi una copia dell'eseguibile del ransomware, salvandolo col nome "desktop.ini" e lo copia nella cartella originale, ora nascosta. Nella foto sotto un esempio di questo meccanismo
C'è una ulteriore particolarità: come detto, alcune versioni di Matrix includono una caratteristica che consente loro di diffondersi e infettare altre macchine attraverso scorciatoie a cartelle. Matrix nasconde una cartella, quindi crea un collegamento con lo stesso nome. Crea quindi una copia dell'eseguibile del ransomware, salvandolo col nome "desktop.ini" e lo copia nella cartella originale, ora nascosta. Nella foto sotto un esempio di questo meccanismo
Si può notare come le cartelle Documenti e Download mostrino ora l'icona del collegamento: un veloce sguardo alle proprietà del collegamento svelano come sia in atto un tentativo di eseguire un programma (foto sotto).
Il comando completo di questo collegamento infetto è
%SystemRoot%\system32\cmd.exe /C explorer.exe "Documents" & type "Documents\desktop.ini" > "%TEMP%\OSw4Ptym.exe" && "%TEMP%\OSw4Ptym.exe"
Cosa accade se una vittima prova ad aprire la cartella Documenti?
Accadranno varie cose:
1. Verrà usato explorer.exe per aprire la cartella Documenti nascosta
2. Viene eseguita la copia del file desktop.ini conteuto nella cartella Documenti presso %Temp%\OSw4Ptym.exe.
3. Viene eseguito il file %Temp%\OSw4Ptym.exe.
4. Matrix infetta il computer o, se viene avviato in un computer già infetto, cerca nuovi file da criptare.
Questo meccanismo consente a Matrix la diffusione attraverso le condivisioni di rete e l'uso di drive removibili.
Matrix è un ransomware periodicamente aggiornato...
In appena 5 mesi di esistenza, esistono già 3 diverse versioni del ransomware Matrix.
La versione 1 cripta i file aggiungendovi l'estensione ".matrix". La nota di riscatto si chiama "matrix-readme.rtf" e gli indirizzi di contatto sono matrix9643@yahoo.com e redtablet9643@yahoo.com.
La versione 2 cripta i file aggiungendovi l'estensione ".b10cked". La nota di riscatto si chiama "Bl0cked-ReadMe.rtf".. Gli indirizzi di contatto sono bluetablet9643@yahoo.com e decodedecode@yandex.ru.
La versione 3 cripta i file senza aggiungere nessuna estensione. La nota di riscatto si chiama WhatHappenedWhitFiles.rtf e gli indirizzi di contatto sono redtablet9643@yahoo.com e decodedecode@tutanota.com.
Alcune altre interessanti caratteristiche...
Matrix ha un dialogo continuo col proprio server C&C: invia al server infatti il tipo di file criptati per ogni macchina e il numero di file criptati. Non si sa se sia proprio in base a questo tipo di dati inviati che Matrix attiva una versione o l'altra di se stesso. Oltre a questo esegue altre azioni:
1. Cancella le copie shadow di volume dei file, impedendo il ripristino dei file.
2. Esegue il comando bcdedit.exe /set {default} recoveryenabled no per impedire alle vittime di attivare la modalità di recupero.
3. Esegue il comando bcdedit.exe /set {default} bootstatuspolicy ignoreallfailures per prevenire l'accesso alle opzioni di recupero.
La nota di riscatto...
Rispetto ai ransomware più diffusi, Matrix mostra una nota di riscatto in .rtf e non in .hta. Eccola sotto
Rispetto ai ransomware più diffusi, Matrix mostra una nota di riscatto in .rtf e non in .hta. Eccola sotto
Nessun commento:
Posta un commento