venerdì 15 gennaio 2016

Il malware Ransom32

Creato per la prima volta con il framework Nw.js per le applicazioni desktop, questo nuovo ransomware è in grado di essere eseguito su Windows, Linux e MacOs X. Il programma malevolo sfrutta la rete Tor per comunicare con i server command and control e blocca tutto il contenuto dei computer, chiedendo un riscatto per togliere la crittografia ai file.

Il 2016 è iniziato da meno di una settimana e l’enciclopedia delle minacce online si arricchisce già di un nuovo capitolo. L’ultimo arrivato sulla scena èRansom32, un ransomware che ha iniziato a mietere le prime vittime, crittografando tutto il contenuto dei computer e chiedendo un riscatto per “liberare” i dati. Il programma malevolo è stato analizzato in modo approfondito da Fabian Wosar, esperto di sicurezza di Emsisoft, che ha spiegato come, “a prima vista, Ransom32 potrebbe sembrare uguale a decine di altri malware in circolazione”. Ma, in realtà, non è così. Disponibile come molti altri programmi nel dark web in versione Software-as-a-Service (SaaS) e quindi potenzialmente sfruttabile da tutti, Ransom32 utilizza per la prima volta Nw.js, un framework Javascript che consente di creare normali applicazioni desktop impiegando gli stessi linguaggi della programmazione Web come Html, lo stesso Javascript e Css.
Ed è proprio questa l’arma in più di Ransom32: potenzialmente, il malware è in grado di infettare tutti i principali sistemi operativi, vale a dire le famiglie Windows, MacOs X e Linux. “Grazie a Nw.js, i normali sviluppatori di applicazioni desktop hanno il beneficio di far operare lo stesso codice Javascript su diverse piattaforme”, ha scritto in un blogpost Wosar. “Così, un’applicazione con Nw.js può essere scritta una sola volta ed essere utilizzabile in modo istantaneo su Windows, Linux e MacOs X”. Anche se, al momento, sembra siano state infettate solo macchine con ecosistemi Microsoft.
Per prelevare il malware, è “sufficiente” effettuare la registrazione su uno dei server nascosti nella rete Tor, indicando un indirizzo Bitcoin da utilizzare come deposito per i proventi dei riscatti. Dopo aver inserito l’indirizzo, si ha a disposizione un pannello di controllo rudimentale con diverse statistiche, come il numero di persone che ha già pagato per ottenere nuovamente i propri dati. Inoltre, è possibile configurare altri parametri come il numero di Bitcoin richiesti come pagamento .
Il malware è scaricabile cliccando su un bottone. Una volta completato il download, si ha a disposizioneun archivio Winrar da 22 megabyte“È evidente come Ransom32 sia differente da altri ransomware, che raramente superano il megabyte di peso”, ha sottolineato Fabian Wosar. L’archivio contiene le varie parti del malware: la più interessante è il file chrome.exe, che contiene effettivamente il codice malevolo.
Il richiamo al famoso browser di Google non è ovviamente casuale, ma questo file, creato con il framework Nw.js, non contiene la firma digitale e le informazioni sulla versione che fanno invece ritenere affidabile il browser originale sviluppato da Big G. In caso il malware venga eseguito, tutti i file dell’archivio vengono decompressi e copiati nella cartella dei file temporanei. Da qui, il programma si clona nella directory “%AppData%Chrome Browser” e sfrutta il file s.exe per creare una scorciatoia nella cartella “ChromeService”, in modo da assicurarsi l’esecuzione a ogni avvio del sistema.
Dopo l’installazione e la copia, Ransomware32 attiva il client Tor integrato per collegarsi con i server command and control nascosti nella rete Tor, tramite la porta 85. A questo punto, la vittima vede comparire una finestra informativa e il malware inizia a crittografare praticamente tutti i file presenti nel computer, utilizzando un algoritmo Aes con una chiave a 128 bit. Sadicamente, il programma maligno riesce anche a decrittare un singolo file, in modo da mostrare alla vittima che l’autore del ransomware ha effettivamente il potere di “sbloccare” il contenuto della macchina. Quindi, se non avete ancora fatto il backup, vi conviene pensarci.


Nessun commento:

Posta un commento