E' stata individuata, già in uso in attacchi reali, una nuova versione della famigerata famiglia di ransomware Dharma: in questo caso viene usato, come copertura, l'installer ESET AV Remover. Si tratta di una copertura usata per distrarre le vittime mentre la criptazione dei file avviene in background. L'ESET AV Remover è un software legittimo firmato con valida firma ESET, quindi è un ottimo trucco per distrarre le vittime, dato che non induce sospetti.
Come si diffonde
Stando all'analisi di BleepingComputer, questo ransomware viene diffuso usando campagne di spam contenenti allegati compromessi: il dropper del ransomwar Dharma è contenuto in questo allegato, un archivio auto estraente protetto da password. L'archivio si chiama Defender.exe ed è ospitato su un server compromesso, link[.]fivetier[.]com.
La catena di infezione. Fonte: Bleepingcomputer.com |
La password per aprire l'allegato è contenuta nel testo dell'email di spam: anche questa è una tecnica di ingegneria sociale fatta per incuriosire le vittime e indurle ad aprire l'archivio, quindi a lanciare l'infezione di Dharma senza averne consapevolezza.
L'email di spam. Fonte: Bleepingcomputer.com |
Il testo dell'email, come si vede, cerca di creare ansia alla vittima, parlando di un problema di corruzione del sistema e del rischio di danneggiamento dei file di sistema, delle applicazioni e perfino di fuga di dati.
Come cripta i file
Una volta che il file Defender,exe è eseguito, questo scarica sul sistema una veccia versione dell'installer di ESET AV Remover, chiamata Defender_nt32_enu.exe. Quindi il binario di Dharma viene aggiunto a C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup e "nascosto" col nome taskhost.exe: il binario viene quindi eseguito e inizia la criptazione dei file contenuti nella macchina.
L'installer ESET AV Remover viene automaticamente lanciato una volta che viene eseguito l'archivio autoestraente, così da catturare l'attenzione della vittima mentre Dharma avvia la criptazione dei file presenti sui dischi. I ricercatori spiegano che il ransomware avvia la criptazione dei file anche nel caso in cui l'installazione non dovesse avviarsi: l'installazione del software e l'esecuzione del malware sono differenti istanze, quindi il loro comportamento non è correlato.
Questa versione di Dharma cripta i file lasciandone intatto il nome e aggiungendo l'estensione [ENIGMA1CRYPT@AOL.COM].ETH dopo l'estensione originale dei file.
Enigma1crypt@aol.com è l'email di contatto per le vittime. Sotto la nota di riscatto
Attualmente non sono conosciute modalità per riportare in chiaro i file senza cedere al ricatto dei cyber attaccanti: in ogni caso sconsigliamo il pagamento del riscatto sia perchè questo non assicura assolutamente di ricevere il tool di decriptazione sia perchè non c'è certezza del corretto funzionamento dell'eventuale tool. Aggiorneremo quando ci sarà una soluzione legale e sicura al 100%.
Nessun commento:
Posta un commento