venerdì 6 luglio 2018

Individuato il primo malware sia ransomware che miner di criptovaluta.


Alcuni ricercatori di sicurezza hanno individuato un interessantissimo "frammento" di malware che ha doppia capacità di attacco: può cioè infettare un sistema sia con un miner di criptovaluta sia con un ransomware. La scelta tra l'uno o l'altro tipo di attacco dipende semplicemente da quale, tra i due schemi di infezione, risulti più profittevole per gli attaccanti. Da una parte quindi un meccanismo di criptazione dei file o blocco della macchina in cambio di un riscatto, dall'altra l'utilizzo del potenziale di calcolo di una CPU per minare moneta digitale. 

Entrambi i meccanismi di attacco rientrano nelle "top threats" e hanno delle caratteristiche comuni, sopratutto a partire dal fatto che sono entrambi attacchi piuttosto semplici, portati avanti per soldi contro vittime "a caso" (ovvero non targetizzate, si spara semplicemente nel mucchio) e che guadagnano dalle monete digitali la necessaria anonimia per non essere individuati. Il ransomware ha però un difetto: il blocco di un computer o dei file non garantisce necessariamente che la vittima paghi il riscatto. Una vittima potrebbe detenere un backup per ripristinare i file, oppure ancora non avere nulla di particolarmente grave da perdere al punto da essere indotta a pagare. Quindi, come diciamo già da qualche tempo, il cyber crimine ha virato verso la più sicura e redditizia estrazione di cripto valuta, studiano nuovi mezzi e varianti per sfruttare le CPU delle vittime. 

Rakhni = Ransomware+ Miner
Il malware del quale stiamo parlando è una variante modificata della famiglia di ransomware Rakhni, che ora è stata aggiornata per includere anche funzionalità di mining. Scritto in linguaggio di programmazione Delphi, il ransomware Rakhni viene diffuso principalmente via email di spam contenenti allegati Office (solitamente file Word) i quali, se aperti, chiedono alla vittima di salvare il documento per poterlo modificare. Il documento include una icona PDF la quale, se cliccata, avvia un eseguibile dannoso sul computer della vittima e mostra immediatamente un falso messaggio di errore: lo scopo è indurre la vittima a pensare che al sistema manchi un file per aprire il file in allegato alla mail vettore. 


Come avviene la decisione tra ransomware o miner?
In background il malware esegue, prima di tutto, funzionalità anti Virtual Machine e anti Sandbox sui computer della vittima per aver la certezza di non rischiare di "cadere in trappola". Se questa prima analisi dà esito positivo, il malware avvia ulteriori verifiche sulla macchina, utili a prendere la decisione fatidica. 

1. Installazione come ransomware
si avvia se il sistema bersaglio ha una cartella "Bitcoin" nella sezione AppData. Prima di criptare i file con l'algoritmo RSA-1024, il malware termina tutti i processi che coincidono con quelli contenuti in una lista di popolari applicazioni di sicurezza della quale è dotato il malware. Quindi viene mostrata la nota di riscatto in forma di file di testo. 

2. Installazione del miner
si avvia invece se la cartella Bitcoin non esiste e la macchina ha almeno due processori logici. In questo caso il malware attiva la Modalità Miner. Il sistema viene infettato con il miner di cripto valuta: nel dettaglio userà l'utility MinerGate per estrarre Monero (XMR), Monero Original (XMO) e Dashcoin (DSH), ovviamente in background. Oltre a ciò, il malware usa CertMgr.exe per installare certificati root falsi che dichiarano di essere stati emessi da Microsoft Corporation o Adobe System Incorporated, nel tentativo di mascherare il processo di mining spacciandolo per legittimo. 


Attivazione della componente worm:
è la terza opzione, quella di emergenza. Il malware la attiva se non trova una cartella "Bitcoin" e se riscontra un solo processore logico. Questa componente aiuta il malware a auto copiarsi su tutti i computer presenti in una rete locale usando le risorse condivise. Per ogni computer elencato nel file, il trojan verifica se la cartella Utenti sia o meno condivisa nella rete e, se si, il malware si copia nella cartella \AppData\Roaming\Microsoft\Windows\StartMenu\Programs\Startup di ogni utente accessibile. 

Al di là della scelta effettuata, il malware verifica anche se viene avviato o meno nel sistema uno dei processi antivirus che ha in elenco. Se nel sistema non viene trovato alcun processo AV, il malware eseguirà diversi comandi cmd nel tentativo di disabilitare Windows Defender. Attualmente colpisce vittime russe, tedesche, kazache e ucraine. 

Nessun commento:

Posta un commento