mercoledì 3 aprile 2019

Di nuovo GandCrab: campagna in corso diffonde la v.5.2 del ransomware


La segnalazione proviene di nuovo dal CERT-PA italiano che, nel corso del fine settimana, ha rilevato una campagna di email di spam che diffonde la versione 5.2 del ransomware GandCrab. In questa campagna, GandCrab viene diffuso tramite email contenenti un allegato .doc, contenente a sua volta una macro dannosa. 

La macro è altamente offuscata per ridurre le possibilità di individuazione da parte delle soluzioni di sicurezza: una volta eseguita tenta immediatamente il download di un file rinominato "it.txt", dal percorso hXXp://134[.]209[.]88[.]23/it.txt. Una volta scaricato il file, lo esegue tramite cmstp.exe (MS Connection Manager Profile Installer) coi parametri 
  • /ns --> questo parametro specifica che non deve essere creata un'icona sul desktop
  • /s --> specifica che l'installazione o la disinstallazione deve avvenire "silenziosamente", ovvero senza che venga visualizzato alcun prompt per richiedere permissioni all'utente. 

Una volta installato, il ransomware esegue alcune verifiche preliminari prima di avviare la routine di criptazione: in prima battuta verifica se sulla macchina compromessa sono presenti processi relativi a soluzioni antivirus.


Nello specifico viene verificata la presenza, sul dispositivo infetto, dei seguenti antivirus:
  • Kaspersky
  • ESET
  • AntiVir
  • Avast
  • Norton
  • McAfee
  • Panda
  • Sygate Firewall
  • Kerio Personal Firewall
  • Trendmicro
  • F-Secure
  • Comodo
  • Windows Defender
La seconda verifica è relativa direttamente all'host compromesso: vengono raccolte una serie di informazioni. Sotto il codice responsabile di tali operazioni:


Ecco i dati raccolti:
  • pc_user = UTENTE
  • pc_name = NOME DELL'HOST
  • pc_group = GRUPPO DI LAVORO
  • pc_lang = it-IT
  • os_major= SISTEMA OPERATIVO
  • os_bit= 32 BIT, 64 BIT
  • ransom_id= 15 CARATTERI CASUALI
L'ultima verifica serve a individuare eventuali cartelle condivise sul sistema target. Quindi avviene la criptazione: il ransomware censisce i file e li cripta, cambia lo sfondo del desktop con una immagine contenenti informazioni per l'utente-vittima, copia la nota di riscatto (“IIPTHBGFBL-MANUAL.txt") e esegue una ultima verifica per avere la certezza che sul disco sia presente la nota di riscatto. 

Il CERT-PA fornisce questo elenco di file target:


L'immagine di sfondo del Desktop


L'ultima operazione, a concludere le operazioni di criptazione è la rimozione delle copie shadow dei file tramite il comando "wmic.exe shadowcopy delete" (per impedire il ripristino dei file criptati) e l'invio delle informazioni raccolte al server hXXp://www[.]kakaocorp[.]link/. 

La diffusione
Stando ai dati in possesso del CERT-PA questa campagna è mirata contro target High Tech principalmente locati in Europa.



Nessun commento:

Posta un commento