lunedì 23 aprile 2018

L'exploit kit Magnitude sceglie il ransomware GandCrab


Di GandCrab ne abbiamo già diffusamente parlato (rimandiamo qui alla relativa pagina nella nostra Galleria dei Ransomware): si sta diffondendo in lungo e in largo attraverso campagne di spam talvolta massive talvolta più mirate, schemi di ingegneria sociale e campagne di exploit kit. Qualche giorno fa alcuni ricercatori hanno scoperto che Magnitude EK, exploit kit notoriamente "fedele" alla distribuzione di Magniber (ritenuto il successo di Cerber, assunse appunto il posto di Cerber nella distribuzione di Magnitude EK. Leggi qui), è passato alla distribuzione di GanCrab, abbandonando appunto il ransomware Magniber. Magniber infatti è stato sconfitto pochissimi giorni dopo l'avvio della distribuzione, con la pubblicazione di un tool gratuito per la decriptazione.  

La distribuzione di Magnitude EK rimane principalmente localizzata in Corea, ma i ricercatori sono riusciti a infettare una versione inglese di Windows senza troppi intoppi, segno che Magnitude EK può colpire senza alcun problema in larghe parti del mondo. 

Magnitude utilizza ora anche una tecnica fileless (cioè senza salvare alcun file nella memoria locale della macchina bersaglio) per caricare il payload del ransomware: una tecnica di elusione dei controlli antivirus ormai piuttosto diffusa ed efficace, dato che rende molto più difficile l'identificazione della minaccia, ma una novità per quanto riguarda questo exploit kit.

Il Payload

Il payload è codificato usando VBScript.Encode/JScript.Encode incorporato in uno script, che viene successivamente decriptato in memoria ed eseguito. Una volta che il payload è stato "iniettato" in explorer.exe tenta immediatamente il riavvio della macchina.

Nella foto la libreria .DLL di GandCrab
Riavviata la macchina il ransomware si esegue e cripta i file modificandone l'estensione originale in .CRAB.  


Terminata l'infezione, viene mostrata la nota di riscatto. 


Le vulnerabilità attaccate
L'exploit kit Magnitude attacca due vulnerabilità specifiche, la CVE-2018-4878  e la CVE-2016-0189 . La prima è una vulnerabilità che affligge Flash Player, individuata nelle versioni precedenti alla 28.0.0.161: l'exploit di questa vulnerabilità, se ha successo, può comportare la possibilità di esecuzione di codice arbitrario da parte di un attaccante. Tra Gennaio e Febbraio 2018 è stata sfruttata con successo centinaia di volte.

La seconda vulnerabilità invece riguarda Internet Explorer: risiede in JScript 5.8, VBScript 5.7 e 5.8, tutti usati da Internet Explorer 9-11 (ma non solo). Consente all'attaccante l'esecuzione di codice arbitrario da remoto oppure la negazione del servizio (corruzione di memoria).

Vedremo in futuro se MagnitudeEK confermerà la nuova accoppiata oppure no: la storia di Magnitude EK però ci indica che questo Exploit kit raramente cambia il ransomware in distribuzione. Ha abbandonato Cerber dopo un lungo periodo di fedeltà, mentre Magniber (risolto, quindi un'arma spuntata) è stato abbandonato dopo 7 mesi di distribuzione. Ricordiamo che, ad oggi, è risolvibile la versione 1 del ransomware GandCrab, riconoscibile dall'estensione di criptazione .GDCB. Non è invece tutt'ora risolvibile la seconda versione, quella in oggetto di questo articolo, che cripta i file .CRAB. 

Nessun commento:

Posta un commento