Ransomware GlobeImposter: in distribuzione via email di spam in 4 diverse versioni

La campagna di mail di spam Blank Slate ha legato per ora il suo nome al ransomware Aleta, una nuova versione del ransomware BTCware (chi volesse saperne di più può leggere qui). Da qualche giorno però sono riprese ondate di mail di spam provenienti dalla stessa fonti, ma che mettono in distribuzione diverse varianti del ransomware Globe Imposter. Nel dettaglio sono in distribuzione, praticamente in contemporanea, 4 diverse versioni del ransomware. 

Come si diffonde?
La campagna Blank Slate prende il nome dal fatto, caratterizzante della campagna stessa, di non recare nessun testo in oggetto della mail.

Fonte: bleepingcomputer.com

L'email contiene un allegato .zip, il cui nome varia, ma seguendo uno schema ricorrente come questo

EMAIL_[RandomNumbers]_[RecipientName].zip. Dentro il file .zip c'è un secondo file .zip rinominato secondo lo schema [RandomNumbers].zip. Questo secondo .zip contiene uno script JS offuscato con un nome random. Un esempio potrebbe essere

EMAIl_877821_Bleeping.zip -> 871231.zip -> msaSh.js.

Come cripta i file? 

Quando eseguito, lo script JS tenterà il download di un file chiamato called 1.dat, che è un file eseguibile, da uno dei due siti designati a tal scopo. Una caratteristica interessante dell'eseguibile del malware è la firma del codice: il codice è firmato con un certificato della Thawte, una azienda sudafricana che si occupa appunto di firme digitali.

Img 1: la firma usata dal ransomware. Img2: la firma usata dalla Thawte

Una volta che l'eseguibile viene scaricato, viene immediatamente eseguito indipendentemente dal tipo di malware che il payload porta con se. Come detto infatti, ci sono ben 4 versioni di GlobeImposter che sono distinguibili dall'estensione che aggiungono ai file criptati. 

• v.1--> con estensione .crypt
• v.2--> con estensione .GOTHAM
• v.3--> con estensione .HAPP
• v.4--> con estensione .crypt

Ecco un esempio di file criptati della versione 1

Le note di riscatto cambiano nome e email di contatto dei cyber-criminali a seconda della versione

v.1--> crypt

Nome nota di riscatto: !back_files!.html

Email di contatto: oceannew_vb@protonmail.com

v.2--> GOTHAM

Nome nota di riscatto: n.d

Email di contatto: n.d

v.3--> HAAP

Nome nota di riscatto: how_to_back_files.html

Email di contatto: happydaayz@aol.com o strongman@india.com

V.4--> crypt

Nome nota di riscatto: how_to_back_files.html
Email di contatto:  support24@india.com o support24_02@india.com

La nota di riscatto della versione 1. 

Attualmente non ci sono soluzioni per la decriptazione. Consigliamo di non scaricare nessun allegato contenuto in mail provenienti da fonti sconosciute o inaspettate.

Fonte: bleepingcomputer.com