Due giorni fa è stata individuata una nuova ondata di attacchi con il ransomware Locky, nel dettaglio la variante .asasin. La campagna è ancora in corso.
Come viene distribuito?
Questa ondata è la solita ondata di mail di spam contenenti un allegato Office Word, non solo però per Microsoft Office ma anche per altri software simili come Libre Office. I documenti contengono l'immagine di una busta e recano un messaggio che invita l'utente a fare doppio click sull'immagine per sbloccare il contenuto del documento.
Questa ondata è la solita ondata di mail di spam contenenti un allegato Office Word, non solo però per Microsoft Office ma anche per altri software simili come Libre Office. I documenti contengono l'immagine di una busta e recano un messaggio che invita l'utente a fare doppio click sull'immagine per sbloccare il contenuto del documento.
 |
| Fonte: CERT nazionale |
Come cripta i file
L'immagine è collegata ad un file ".lnk", cioè un file di collegamento rapido di Windows: questo punta ad uno script PowerShell che esegue un secondo script da URL codificato all'interno dello script stesso.
L'immagine è collegata ad un file ".lnk", cioè un file di collegamento rapido di Windows: questo punta ad uno script PowerShell che esegue un secondo script da URL codificato all'interno dello script stesso.
Il secondo script si connette ad Internet e scarica l'eseguibile di Locky, denominato "losos1.exe", e lo salva nella cartella %temp%. L'eseguibile è compilato in Microsoft Visual C/C++ (2013) ed è pesantemente offuscato, nell'evidente tentativo di renderne difficile l'analisi e convincere la vittime che si tratti di una legittima applicazione di Windows.
Una volta eseguito, fa una copia di se stesso in memoria (usa un processo "svchost.exe") e cancella il proprio originale. Quindi inizia a raccogliere informazioni sulla macchina infetta e le invia criptate al proprio server di Command&Control: in risposta il server invia la chiave necessaria per criptare i file. Questa variante quindi cripterà i file che trova, aggiungendovi l'estensione .asasin.
La nota di riscatto:
finita la criptazione, il ransomware sostituirà la schermata del desktop con la richiesta di riscatto in foto sotto:
Nessun commento:
Posta un commento