Articoli di approfondimento sulla diffusione di Malware principalmente legati al nostro territorio Italiano ma non solo.

Dalle prime ore di oggi abbiamo rilevato attraverso la nostra spam-trap una importante campagna di diffusione Malware Danabot. Le eMail invitano l’utente a visualizzare una fattura e ne richiedo il pagamento puntuale attraverso un link malevolo contenuto nel testo della eMail.

Come visibile nello screenshot iniziale nel corpo del messaggio è presente un link che conduce al download di un file archivio Zip denominato __faktura_XXXX.zip dove XXXX è un numero variabile. Il file compresso contiene all’interno un file Visual Basic Script (VBS) che ha il compito di scaricare ed eseguire il malware Danabot.

Qualora la vittima aprisse il file vbs lo script inizia ad effettuare chiamate costanti verso il dominio driverupdatefaxas[.]info che restituisce a sua volta un time delay di 8 secondi, dopo circa 40 richieste il dominio restituisce la seguente istruzione powershell offuscata.

Analizzando tale istruzione e deoffuscando il codice si evince che verrà scaricata un ulteriore istruzione powershell dal medesimo dominio.

Tale nuova istruzione contiene il codice sorgente del malware e le istruzioni per l’esecuzione nella macchina della vittima.

Alle 10 UTC odierne solamente 2 antivirus su 53 riconoscevano la minaccia come visibile nel seguente screenshot:

 

Infine riportiamo un estratto degli IOC più salienti:

  • WoRI.dll: 40828c0c93d788bbc9d19a66a1292a9b5a27a4db05f5ccf04a37d9ea50c0a887
  • fax.php: b83a6d6403ce637d83091718d9d6c15e3e2f07514df4f52b8fe37f88c193aa0b
  • 91.185.184[.]174
  • 161.117.34[.]31
  • 185.92.222[.]238
  • 223.176.182[.]173
  • 74.162.3[.]4
  • 170.238.124[.]17
  • 125.111.154[.]159
  • 84.93.98[.]122
  • 65.63.52[.]191
  • driverupdatefaxas[.]info

Nel corso delle attività di contrasto e monitoraggio del phishing, D3Lab ha avuto modo di individuare ed analizzare i rilevi emersi da campagne malspam in circolazione in Italia volte a veicolare malware attraverso l’utilizzo di account email legittimi precedentemente carpiti.

La particolarità della campagna consiste nel controllo preventivo inerente il sistema da compromettere e nelle caratteristiche del file dropper, scaricabile tramite link alla mail, che  una volta scompattato assume dimensioni tali da non consentire la sottomissione del sample sulle sandbox online di malware analysis.

Dettagli tecnici

Le email analizzate fanno riferimento a rapporti commerciali precedentemente intercorsi tra le parti. Nello specifico, l’oggetto viene ripreso da conversazioni già intercorse e presenti nella casella di posta ed il contenuto sembra essere il prosieguo di una discussione già intrattenuta tra le parti come una risposta ad una conversazione precedente.

Nel corpo della mail, utilizzando un italiano non del tutto corretto, si invita la vittima a seguire un link al fine di visionare il documento o la fattura/ricevuta.

La mail si conclude con firma originale in calce e riferimenti reali alla società di appartenenza dell’account mittente. Di seguito uno screenshot esplicativo.

Analisi comportamentale

Seguendo il link indicato nella mail, si viene indirizzati alle seguenti URL:

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881

Le Url indicate effettuano un controllo preventivo lato server in merito al sistema operativo che fa richiesta. Solo nel caso in cui la pagina venga visionata da un browser con User-Agent “Internet Explorer” verrà proposto in download un archivio .ZIP da 536 KB denominato:

  • 2018 DICEMBRE DOCUMENTI.zip

Il file archivio contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati:

  • 04 DICEMBRE 2018.vbs
  • dbpreview.dat

Mentre il file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper e cambia nome di frequente.

Il file VBS una volta estratto dall’archivio aumenta notevolmente la dimensione sino a 451,9 MB. Si presume che tale tecnica sia stata utilizzata al fine di non permettere l’upload del file stesso su nessuna delle piattaforme che effettuano analisi del malware. Il codice reale (offuscato), una volta estratto, è composto da poche righe, come visibile dallo screenshot sottostante:

Al fine di rendere il file di grandi dimensioni sono state inserite all’interno del codice numerose righe vuote che grazie all’algoritmo di compressione non hanno dimensione, ma tornano ad essere “presenti” una volta scompattato dal file ZIP.

 

Il codice decodificato assume la seguente struttura:

 

Leggendo la sintassi del codice si evince chiaramente che il file VBS ha il compito di collegarsi alla url http://pixelors[.]com/ShareImage.php dalla quale effettua il download di un file “opr.exe” salvandolo nella cartella “%TEMP%” di sistema.

Il sample opr.exe risulta essere un campione appartenente la famiglia Gootkit il cui scopo è quello di intercettare il traffico, raccogliere informazioni, soprattutto bancarie, ed infine comunicare sulla porta 443 con il server di C&C che nel caso in oggetto risulta essere “antoniojguerrero[.]com” risolvibile con indirizzo IP 185[.]248[.]160[.]132.

In fase di esecuzione il malware effettua una serie di controlli per sfuggire alle sandbox e agli strumenti di debug. In tal caso termina l’esecuzione senza effettuare alcuna attività.
Di seguito un’immagine dimostrativa che evidenzia la funzione IsDebuggerPresent() invocata 49 volte e utilizzata per rilevare la presenza di debug attivo in fase di esecuzione.

Una volta accertata l’affidabilità dell’ambiente in cui viene eseguito, il malware si esegue in un nuovo thread, a quel punto modifica le policy dal registro di sistema assegnando il valore REG_DWORD 2500 con impostazione 3 in modo da disabilitare la modalità protetta della Internet Zone.

Di seguito le chiavi modificate:

In fine inizia le attività di monitornig e di comunicazione con il C&C.

Indicatori di Compromissione

Di seguito riportiamo gli indicatori di compromissione.

IP:

  • 149.56.5[.]78
  • 185.61.152[.]59
  • 185.248.160[.]132:443

Domini:

  • pixelors[.]com
  • antoniojguerrero[.]com

URL

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881
  • hxxp://pixelors[.]com/ShareImage.php

Allegato ZIP

  • File: 2018 DICEMBRE DOCUMENTI.zip
  • Hash md5: 83932c5046afb5e90a26b030fffe23b2

VBS

  • File: 04 DICEMBRE 2018.vbs
  • Hash md5: 219e8d1cc3750f3fea37f8588e9f14af
  • File: DICEMBRE 02 2018.vbs
  • Hash md5: 609378f6228ca6bd7c908fdfd5a42fa0

DAT

  • File: dbpreview.dat
  • Hash md5: 291579f343a99b8f39b0098ad4c08e49

PE

  • File: opr.exe
  • Hash md5: 176c29ad575d897e1795d58761583890

Una nuova campagna di diffusione Malware rilevata il 30 Marzo 2017 sfrutta l’istituto Banca d’Italia per trarre in inganno l’utente finale mediante l’invio di una falsa notifica sull’esistenza di arretrati. L’eMail fraudolenta invita la potenziale vittima ad analizzare i propri debiti cliccando sul link riportato.

Il link in oggetto di analisi veicola l’utente su un sito Russo dal quale effettuerà il download dell’archivio notifica.zip, tale archivio al suo interno contiene il file notifica0021769.js opportunamente offuscato come possiamo visualizzare dall’immagine seguente.

Aprendo il file JavaScript il computer esegue il download del malware, denominato notifica.exe, da due possibili fonti:

http://asisa-isia[.]org/wp-content/uploads/sites/2/2017/notifica.exe

http://infinitiofkirklandleases[.]com/wp-includes/js/tinymce/plugins/paste/notifica.exe

Nei minuti successivi all’analisi da noi compiuta, il malware scaricato risultava corrotto e quindi non eseguibile su alcun dispositivo. Analizzando l’eseguibile era possibile notare blocchi di codice inopportuno che mostrano un errore di esecuzione del processo IPDATE riconducibile al software Download Accelerator Plus DAP10È probabile che il gruppo di criminali abbia scaricato il malware da una risorsa web tramite Download Accelerator e quest’ultimo a causa di un errore interno abbia corrotto l’eseguibile.

Dopo circa 20 minuti il file eseguibile è stato nuovamente caricato permettendo la corretta funzione, si è quindi rilevato essere un Ransomware.

VirusTotal ci riporta che il nuovo eseguibile viene rilevato da soli 9 antivirus su 61.

 

Analizzando successivamente il traffico eseguito dal Ransomware, abbiamo rilevato l’esecuzione di un demone Tor sulla macchina e una insolita attività di scansione di siti web basati sui CMS WordPress e Joomla.

In quasi 9 minuti di analisi il malware ha effettuato 2695 richieste HTTP come possiamo notare in alcuni seguenti screenshot.

Questo slideshow richiede JavaScript.

È quindi possibile che l’attaccante stia sfruttando le macchine infettate per scansionare la rete e identificare siti web basati sui due principali CMS. Non abbiamo invece rilevato alcuna attività di brute-forcing verso i domini scansionati per ricavarne eventuali credenziali.

Per chi volesse approfondire l’analisi rendiamo disponibile la scansione di VirusTotal e la condivisione del sample attraverso Malwr.

L’attività di Brand Monitor svolta da D3Lab fornisce informazioni utili a monitorare diverse tipologia di minacce, dallo spear-phishing, alla diffusione di malware e phishing tradizionale.

Operando in tale ambito è facile accorgersi come alcune società siano più colpite dal fenomeno della creazione di domini ad-hoc a scopo illecito, non sempre assimilabili al typosquatting, in quanto non creati con l’alterazione di nomi o parole, bensì con concatenazione di termini corretti, nomi di directory, file ed anche servizi.

Poste Italiane sembra essere, in base ai rilievi D3Lab, una delle società più colpite da tale fenomeno:

domini creati con nomi ad Hoc inerenti Poste Italiane

con la creazione di oltre 70 domini con nomi ad essa riconducibili in nemmeno due mesi (rilievi 01/02/17-23/03/17).

Non sempre però, si tratta di pagine che cercano di acquisire direttamente credenziali personali, numeri di carta di credito o altri dati sensibili, come nel caso del dominio poste-postpay.net dalle cui pagine veniva proposta l’installazione di una applicazione Android Poste Italiane, in realtà un malware Android Trojan.

Il dominio creato a supporto della distribuzione del malware è stato individuato attraverso l’analisi di reverse whois su precedente sito di phishing a danno di Poste Italiane.
La tecnica usata consiste nell’individuare il nominativo o la mail di chi ha registrato il sito di phishing ed effettuare poi una ricerca sul db dei whois per evidenziare se la stessa persona ha registrato altri siti simili.

Sovente l’attività di intelligence che si sviluppa dall’esame di più casi di phishing correlabili ad un singolo gruppo criminale evidenzia l’interesse dei criminali nei confronti di più enti target, talvolta di paesi diversi tra l’altro anche nomi di dominio creati per phishing ai danni di ente francese, registrati sempre dalla stesa persona.
Il layout del falso sito PosteIT, come si vede dagli  screenshots, era ottimizzato per dispositivi mobili, e dopo una prima schermata di falso login

propone il download di una ‘Banco Poste Security Module App’

e di seguito le istruzioni per l’installazione sul dispositivo mobile.


Il file scaricato  risultava ad una analisi di VirusTotal chiaramente come un malware

 

Da notare anche come l’applicazione apk che viene installata abbia tra le sue caratteristiche la possibilità di acquisire permessi di scrittura e lettura di SMS, effettuare chiamate telefoniche, ecc…..


cosa che denota le caratteristiche malevole del file PostePay.apk

In questo screenshot vediamo la fase di attivazione del programma, dove si nota la presenza del logo Postepay.


Come sempre in questi casi vale la regola di evitare di installare software di cui non sia certa la fonte, verificando con attenzione sia l’indirizzo del sito utilizzato, ma anche il file scaricato ad esempio attraverso siti di scansione malware online come Virus Total.

Durante lo scorso week-end abbiamo rilevato un invio massivo di eMail contenenti la comunicazione di una Falsa Fattura dell’operatore telefonico Vodafone, il messaggio richiedeva il saldo della fattura AG20887715 intestata a Luigina Canale di un importo complessivo di 61.18euro. Il layout rispetta quasi fedelmente quello sfruttato dall’operatore per inviare la legittima comunicazione.

Selezionando il pulsante con sfondo rosso riportante la scritta “Vai alla fattura” l’utente scarica attraverso il sito https://intrumnl[.]000webhostapp[.]com un archivio ZIP contenente un file JavaScript denominato fattura n. AG20887715.js, tale script una volta eseguito effettua il download del file encrypted.exe e lo esegue nel sistema.

Il file JavaScript è opportunamente offuscato per impedire ad un Antivirus l’immediato riconoscimento di una minaccia come potete visualizzare dal seguente screenshot:

Infine l’esecuzione dell’eseguibile encrypted.exe permette al Cerber Ransomware ci cifrare i documenti e i file dell’utente nel computer, richiedendo un cospicuo riscatto per riottenere i propri file originali.

 

Il sample del malware è disponibile su Hybrid Analysis, su Virus Total è invece disponibile la scansione in cui si evince che solo 12 Antivirus su 55 rilevano una minaccia del file eseguibile.

email_fineco_malware

Nella giornata di ieri 6 Ottobre e anche oggi abbiamo rilevato la diffusione di malware attraverso una finta comunicazione della Banca Fineco (appartenente al Gruppo Bancario Unicredit).

L’eMail fa riferimento ad una probabile transazione finanziaria e chiede all’utente di prenderne visione, nonostante l’Italiano non perfetto il destinatario incuriosito nel capire quale operazione gli viene attribuita cliccando sul link “qui” nella terza riga della eMail viene reindirizzato ad un sito web il quale ha il compito di eseguire il download del file “ordine.zip.”

L’archivio contiene al suo interno un file JavaScript, esso richiamerà una PowerShell con il compito di scaricare ed eseguire un ulteriore file JavaScript. Quest’ultimo file JavaScript scaricherà un eseguibile e un ulteriore file JavaScript che verrà sfruttato come eventuale backup per il download del malware.

Differentemente da molti altri casi i file JavaScript non sono offuscati e inoltre richiede la presenza della PowerShell su Microsoft, escludendo di fatto Windows XP poichè per tale sistema operativo ormai non sopportato non era prevista l’installazione automatica del software PowerShell.

Durante la stesura di questo articolo i file JavaScipt (i downloader) vengono rilevati malevoli secondo VirusTotal come segue:

  • Primo File: codice.js > 9/54
  • Secondo File: 2j.js > 5/54
  • Terzo File: 3j.js > 5/54

Particolare la scelta di non offuscare i file, tale scelta li rende più facilmente identificabili dagli antivirus. A dimostrazione di ciò abbiamo volutamente offuscato il file 3j.js attraverso quattro servizi online gratuiti ottenendo una indentificazione in media minore.

Infatti dove il file originale 3j.js viene rilevanto da 5 Antivirus su 54 la medesima versione offuscata attraverso il servizio online Pjoneil che non ne altera il funzionamento ma solamente il contenuto porta ad una indentificazione di 2 Antivirus su 54. Con una media ccomplessiva comunque più bassa di 3,5 rilevamenti contro 5.

Il file eseguibile scansionato per l’ultima volta da Virus Total il 6 Ottobre alle 19:58 UTC veniva riconosciuto da 11 Antivirus su 56, rianalizzando durante la stesura di questo articolo il rilevamento è decisamente aumentato portandolo a 28/56.

La sola scansione su VirusTotal ci indirizza sulla possibilità che il malware NON sia della famiglia dei ransomware, ma bensì un Trojan in grado di controllare remotamente il computer della vittima potendo quindi acquisire informazioni riservate come Username, Password, Dati Personali, Documenti, Foto, ecc ecc o accedere alla WebCam del computer o visualizzare remotamente il Desktop dell’utente seguendo ogni sua singola operazione.

Il servizio di Malware Analysis offerto da  Malwr.com ci conferma nuovamente che il trojan in oggetto è in grado di:

  • Acquisire informazioni dal browser locale (cronologia, password, username, eMail, cookie, ecc);
  • Eseguire processi e injettare codice in essi;
  • Autoavviarsi all’avvio.

botnet

Inoltre ci informa che genera traffico di rete verso due domini constitution.org e ofenesuspendedcermock.pw, dal primo sito viene estratto il file TXT della Dichiarazione di Indipendenza degli Stati Uniti d’America (http://constitution.org/usdeclar.txt). Questa azione è probabilmente utile al malware per sfruttare l’algoritmo di generazione dei domini (DGA) acquisendo parti del testo della dichiarazione, il dominio servirà per richiamare il server di C&C sfruttato dal BootMaster. È una procedura ormai consolidata quella di generare domini randomici e cambiarli periodicamente per garantire la robustezza dell’intera infrastruttura. Il malware ongi X periodo richiamerà un dominio diverso, così se il precedente viene sospeso perchè ritenuto illecito il Bootmaster non perderà il controllo dei suoi malware. Per chi volesse approfondire questo argomento troverà utile la tesi di Laurea di Stefano Schiavoni con il relatore Stefano Zanero, disponibile su Politesi.

A conferma dell’analisi di Malwr abbiamo provveduto a disassemblare il malware, riconducendo parte del codice al Trojan Spyeye confrontando il codice pubblicato su GitHub.  Spyeye è un malware noto poichè progettato per carpire le informazioni dei conti correnti bancari, sviluppato dal 24enne Alksandr Panin di origine Russa che vendeva il malware a terzi per una cifra compresa tra i mille e gli ottomila dollari in base a quanto riportato Wired Italia. Il caso più eclatante compiuto attraverso questo malware è certamente legato alla sottrazione di 3 milioni di dollari.

Questo slideshow richiede JavaScript.

SpyEye, come afferma Krebsonsecurity, è in grado di iniettare codice nei principali Browser Internet come Firefox, Opera e Chrome al fine di sostituire i form dei siti internet bancari e catturare in tempo reale le credenziali inserite. Ottenendo in tempo reale non solo username e password ma eventuali codici OTP utili per eseguire bonifici  o ricariche. È in grado anche di eliminare i Cookie ad ogni avvio costringendo l’utente ad effettuare un nuovo login, e quindi a ridigitare le proprie credenziali, all’apertura del browser.

 

Zecca_Infografica

L’Infografica in apertura riepiloga quanto rilevato durante il monitoraggio quotidiano della diffusione del Phishing e Malware, in data 6 Settembre 2016 è avvenuto un tentativo di diffusione malware sfruttando un legittimo account eMail dell’Istituto Poligrafico e Zecca dello Stato e i suoi server mail. L’eMail richiedeva all’utente il pagamento di una fattura arretrata indicando che poteva visualizzare tutti i dettagli nel file allegato.

Fortunatamente è intervenuto il server eMail della Zecca dello Stato che ha rilevato l’invio di un contenuto malevolo, procedendo quindi a “troncare” l’archivio impedendo la diffusione del file Roma-Consulting.wsf che probabilmente avrebbe effettuato il download di un eseguibile ed eseguito. Nonostante il vano tentativo, gli aggressori potrebbero cambiare il metodo di diffusione per aggirare i controlli del server eMail; basti pensare alla richiesta di visitare un sito internet contenente un eseguibile (per esempio abbiamo visto sfruttare questa tecnica ai danni di GLS) piuttosto che allegarlo.

La nostra attenzione è ricaduta sul server sfruttato per inviare l’eMail, falsificare il mittente di una eMail è notoriamente facile ma se la mail e il server mittente coincide con il dominio della mail vi sono soltanto due possibili spiegazioni. Hanno violato il server o hanno violato l’account. Dal medesimo server eMail non abbiamo ricevuto nessun altro genere di comunicazione malevola (phishing, spam, ecc) e pertanto la nostra attenzione si è soffermata sulla seconda ipotesi.

Nascono ora due distinte possibilità di attacco, la vittima è stata infettata da un Trojan che ha provveduto ad inviare le Mail a sua insaputa o a diffondere la password del suo account. Oppure l’utente ha sfruttato la stessa password dell’account aziendale anche per altri servizi. Negli ultimi mesi nel Deep Web, ma non solo, si stanno diffondendo importanti archivi di password e account provenienti dai più noti portali online, Linkedin è probabilmente l’esempio più lampante ma non scordiamoci di DropBox, Trenitalia, Badoo, MySpace e mentre scriviamo questo articolo anche la più utilizzata eMail Italiana, Libero, ha comunicato che il suo database è stato violato.

Abbiamo verificato nel Database di Linkedin e come è possibile visualizzare dall’Infografia la casella eMail sfruttata per inviare il malware è presente e anche la sua relativa password, oltre ad essa sono presenti altre 46 caselle della Zecca dello Stato.

È quindi possibile che l’utente in questione sfrutti la medesima password per accedere alla Casella di Posta Elettronica della Zecca dello Stato sia su Linkedin, gli attaccanti hanno sfruttato questa debolezza per inviare diverse eMail da un mail server autorevole.

2016.09.06_Screenshot_1515150

Negli ultimi giorni sono state inviate diverse eMail che avvisano l’utente nella presenza di una attività sospetta sul proprio account Microsoft, precisando che è stato eseguito un accesso il giorno 4 Settembre alle ore 12:37 GMT dalla Francia e da un utente avente l’indirizzo IP 6.2.794.8. Infine l’utente viene avvisato di controllare i propri ultimi accessi e se non riconosce l’accesso dalla Francia di aprire il documento allegato per ottenere informazioni in merito.

Il file allegato in formato ZIP viene generato con un nome casuale, ma al suo interno contiene un altro ZIP denominato 28781.zip che a sua volta contiene il file JavaScript 28781.jse. Quest’ultimo file ha il compito di effettuare il download del malware ed eseguirlo.

Analisi eMail

A prima vista è possibile determinare due errori nella stesura della eMail che chiaramente confermano la finta comunicazione. Innanzitutto il giorno 4 Settembre 2016 non era un Sabato come riportato nell’abbreviazione Inglese ma una domenica e quindi la corretta dicitura doveva essere “Sun, 04 Sep 2016…” inoltre l’indirizzo IP riportato non corrisponde allo standard per il protocollo IPv4. Un indirizzo IPv4 è composto da 4 numeri, ciascuno tra 0 e 255 mentre nella eMail è indicato il numero 794.

Infine la comunicazione arriva da un account Gmail (Google) che non ha certamente niente a che vedere con Microsoft, essendo due aziende concorrenti.

Analisi Malware

Il file JavaScript allegato avviandolo esegue il download del virus attraverso il dominio zapodewac.top tale sito è stato registrato in data 31 Agosto 2016 da Dudenkov Denis residente nella città russa Vladivostok. Un estratto del whois:

Domain Name: zapodewac.top
Domain ID: D20160831G10001G_78656334-TOP
WHOIS Server: www.eranet.com
Referral URL: http://www.eranet.com
Updated Date: 2016-08-31T15:41:49Z
Creation Date: 2016-08-31T15:30:05Z
Registry Expiry Date: 2017-08-31T15:30:05Z
Sponsoring Registrar: Eranet International Limited
Sponsoring Registrar IANA ID: 1868
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registrant ID: tod-706245
Registrant Name: Dudenkov Denis
Registrant Organization: Denis Dudenkov
Registrant Street: Lenina 18
Registrant City: Vladivostok
Registrant State/Province: RU
Registrant Postal Code: 690109
Registrant Country: RU
Registrant Phone: +86.79242368995
Registrant Phone Ext:
Registrant Fax: +86.79242368995
Registrant Fax Ext:
Registrant Email: [email protected]

Continuando l’analisi del dominio rileviamo la presenza di diversi file che riconducono la presenza di un possibile pannello di controllo:

  • admin.php
  • allert.php
  • log.php
  • report.php
  • support.php
  • phpmyadmin/

Accedendo ai cinque diversi file PHP non si ottiene alcuna risposta, probabilmente per attivare le pagine bisogna passarli tramite chiamata GET o POST una password. È un metodo comunemente sfruttato per “nascondere” le web-shell o i mailer per inviare Phishing.

È probabile che il file admin.php permetta al criminale di accedere ad un proprio pannello di amministrazione, il file allert.php come spesso vediamo nel mondo del Phishing di avvisare l’attaccante della presenza di una nuova vittima, il file log.php di memorizzare i log di accesso, il report.php di generare report sugli accessi e relative informazioni sugli utenti e infine il file support.php che probabilmente permette di personalizzare la procedura di decifrazione per l’utente. Infine la presenza di PHPMyAdmin fa pensare che viene usato un database SQL per memorizzare i dati raccolti.

Effettuato il download del file eseguibile lo script JavaScript procede ad eseguirlo, esecuzione che cifrerà tutti i file presenti sulla Home Directory dell’utente impedendogli l’accesso salvo il pagamento di un riscatto pari a 1Bitcoin se l’acquisto viene fatto entro 5 giorni alternativamente il prezzo salirà a 2 Bitcoin. Al cambio odierno 1 Bitcoin corrisponde a quasi 550euro.

Il Ransomware a conferma che la decifrazione dei dati sia possibile permette di decifrare gratuitamente un file a propria scelta, della dimensione massima di 3Mb. Eseguendo tale procedura l’utente sceglierà il file da caricare e il sistema restituirà un archivio zippato contenente il file decifrato.

Al momento della stesura dell’articolo, ovvero dopo 3 giorni dalla diffusione del malware, solo il 30% degli antivirus commerciali riconoscono la minaccia secondo il report di VirusTotal.

 

VirusTotal_Zapodewac

Concludiamo con una galleria di screenshot del Malware in esecuzione su una nostra macchina di laboratorio.

Questo slideshow richiede JavaScript.

 

Invitiamo gli utenti alla massima attenzione prima di aprire ogni allegato presente in una eMail.

Un costante monitoraggio della rete da parte di D3lab rileva come giornalmente vengano creati nuovi nomi di dominio spesso ingannevoli e che fanno riferimento a noti servizi internet quali ad esempio, PayPal
1

ma anche alla nota applicazione di messaggistica istantanea multipiattaforma per smartphone, Whatsapp
2In dettaglio ecco un novo dominio, dal nome ingannevole, che appare registrato da poche ore,

4

e che mostra l’attuale hosting su IP USA

3La pagina di download della fake applicazione Whatsapp presenta un layout ottimizzato  per dispositivi mobili

5
Una volta cliccato sul pulsante download, viene scaricato un file apk che una analisi Virus Total mostra avere contenuti malware

7
Sempre sul medesimo sito e’ possibile trovare pagine di download di altre note applicazioni Android, in realtà falsi apk dai contenuti maevoli.

6
Il consiglio rimane quindi sempre  quello di evitare di scaricare applicazioni da siti poco conosciuti e di dubbia affidabilità, provvedendo inoltre, prima di installare il software, ad una scansione con servizi Internet di verifica dei contenuti, come ad esempio Virus Total, ricordando comunque che nel caso di nuovo malware o varianti di codici noti, anche la scansione online, potrebbe, specialmente nelle prime ore di distribuzione del codice malevolo, far apparire il file come  legittimo e senza problemi.

whois query

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere