CoinVault, siamo alla fine dell’incubo?

Il sequel del noto ransomware: vari modi alternativi per realizzare profitti illeciti

Contenuti

Dopo un solo giorno dal momento in cui abbiamo reso disponibile, online, il nostro decryptor, nell’ambito della campagna “No Ransom”, volta a combattere il temibile ransomware CoinVault, siamo stati contattati da un nostro collega, Bart Blaze, ricercatore presso Panda Security. Egli ha gentilmente fatto presente che risultavano disponibili nuove varianti del famigerato ransomware, e sarebbe stato quindi ben lieto di condividerle con noi. Dopo aver ottenuto i nuovi hash MD5 dei file, abbiamo iniziato a reperire ulteriori indizi ed elementi, così come ulteriori file, e ad analizzare ciò che queste nuove varianti del malware avrebbero poi rivelato: tre diverse famiglie di malware, con evidenti similarità tra di loro.

CoinVault, siamo alla fine dell'incubo?

Alla fine sono emerse alcune interessanti sorprese (per maggiori dettagli su quanto è stato scoperto, vi invitiamo a continuare la lettura).

La cosa migliore, tuttavia, è il fatto che, sulla base delle analisi da noi condotte, la National High Tech Crime Unit (NHTCU) – ovvero la polizia informatica olandese – è stata in grado di procedere all’arresto, lunedì scorso, di due persone sospette.

La storia inizia con CoinVault

La nostra ricerca ha avuto inizio con la scoperta della prima versione di CoinVault, nel mese di maggio 2014 (per gli MD5 ed ulteriori informazioni su questo ed altri hash, consultare la tabella riportata nella parte finale del post). Per quanto interessante, il sample in questione non poteva essere eseguito su tutti i computer; per tale motivo abbiamo omesso, in questo post, ogni ulteriore analisi di tale versione del ransomware.

Poi, improvvisamente, compare sulla scena Comhost

Due mesi dopo aver rilevato la versione iniziale di CoinVault, sono stati da noi individuati due campioni di malware quasi identici. I due file differivano unicamente per il modo in cui il malware veniva scompattato ed eseguito dalla sezione risorse presente all’interno del binario.

Entrambi i file binari caricavano lo stesso identico payload, un eseguibile denominato ‘comhost.exe’. In termini di funzionalità, Comhost risultava completamente diverso da CoinVault. Mentre CoinVault era perfettamente riconducibile alla categoria dei ransomware tradizionali (almeno sino a quel momento), Comhost era certamente molto di più di un classico stealer adibito al furto delle informazioni. Ma se non vedete l’ora di saperne di più sugli ultimi sviluppi, potete già saltare ai capitoli successivi del post!

Una volta eseguito, il malware risolveva in indirizzi IP i due nomi di dominio hardcoded. Esso provvedeva poi ad avviare il keylogger e un timer. Trascorso il tempo impostato, iniziava la ricerca dei wallet Bitcoin, i “portafogli” virtuali nei quali viene custodita la nota criptovaluta. Molto probabilmente gli attacker avevano implementato tale funzionalità proprio in considerazione del fatto che il mining dei Bitcoin è divenuto un’operazione sempre più difficile da realizzare.

CoinVault, siamo alla fine dell'incubo?

Inoltre, il malware era in grado di eseguire comandi ricevuti dal server C2.

CoinVault, siamo alla fine dell'incubo?

Ritorno a CoinVault

Trascorsi appena due mesi, ha fatto poi la sua apparizione un altro sample di CoinVault. Questa volta, il codice del programma dannoso presentava notevoli somiglianze con il codice di Comhost. Alcune funzioni, quali, ad esempio, fixNOIPhosts(), risultavano quasi identiche, evidenziando quindi un chiaro collegamento tra CoinVault e Comhost. La stessa struttura del programma era anch’essa molto simile al design adottato per Comhost.

Fortunatamente, gli autori del malware avevano commesso un piccolo errore. Invece di sovrascrivere il file originale con contenuto crittografato, essi avevano creato un nuovo file nella stessa directory, provvisto di estensione ._clf.

CoinVault, siamo alla fine dell'incubo?

Successivamente, il file originale veniva eliminato richiamando la funzione File.Delete(). Internamente, tale metodo risultava implementato in qualità di chiamata della funzione Win32Native.DeleteFile(). La funzione DeleteFile contrassegnava il file come eliminato a livello di entry MFT. Ciò significa che le vittime di CoinVault, infettate da questa specifica versione del malware, erano probabilmente in grado di poter recuperare i file eliminati durante l’attività forense (nel caso in cui, dopo la cancellazione del file, non si fosse verificata un’eccessiva attività del disco).

Introduzione di “S.H.I.E.L.D Runner” e funzionalità aggiuntive

Un mese dopo la comparsa dell’ultimo sample di CoinVault, veniva introdotta una nuova versione di Comhost. Era, di fatto, il primo campione del malware a contenere il file denominato “S.H.I.E.L.D Runner”. La specifica funzionalità di questa particolare porzione di codice è stata già discussa in un precedente blog post.

A quanto pare, gli autori del malware non erano sufficientemente soddisfatti della precedente versione di Comhost. Essi avevano tra l’altro dimenticato di aggiungere una funzionalità keylogger (per controllare il blocco maiuscole, etc.). Un’ulteriore interessante caratteristica aggiunta nell’occasione dai cybercriminali era rappresentata dalla funzione relativa alla raccolta dei dati inerenti all’antivirus e al browser predefinito, il cui compito consisteva nell’inviare al server C2 di comando e controllo informazioni riguardanti tali programmi. La novità più interessante, ad ogni caso, era costituita dalla classe ActivecaptionWatcher, una funzionalità che avrebbe consentito ai malintenzionati di realizzare degli screenshot e di inviare gli stessi al server C&C.

Mailspreader ed ulteriore offuscamento

Nel mese di novembre 2014 avevamo già riferito riguardo a CoinVault: in tale post si discuteva in merito al sample comparso sulla scena alcune settimane dopo l’ultima versione di Comhost. Tutti i campioni del malware apparsi attorno a questa data risultavano offuscati tramite Confuser. Un particolare elemento omesso nell’analisi da noi effettuata in quel preciso periodo è rappresentato da una funzionalità che non potevamo allora considerare: la classe interna ‘emailDownloader’.

Tale classe conteneva alcune interessanti porzioni di codice, per le quali occorreva un’ulteriore analisi. Era stato fatto riferimento alla presenza di numerosi eseguibili, ma dove si trovavano esattamente questi file? E soprattutto: quale era il ruolo da essi svolto durante il processo di infezione?

CoinVault, siamo alla fine dell'incubo?

Come è poi risultato, i file in questione venivano “recapitati” al computer-vittima tramite Mailspreader, il terzo malware individuato all’interno della famiglia CoinVault. La sezione risorse presente all’interno del binario mostra l’effettiva esistenza di vari file incorporati, che abbiamo poi provveduto ad estrarre, allo scopo di condurre analisi separate su ognuno di essi.

CoinVault, siamo alla fine dell'incubo?

L’uso particolarmente oculato del codice è una caratteristica comune a tutti i moduli individuati nei sample di CoinVault. La funzionalità sopra descritta era relativamente semplice, ma più che sufficiente per ottenere i risultati desiderati. Veniva in pratica creato un thread, poi avviato per sfruttare al meglio tutti i vantaggi offerti dal file ‘MailSpreader.exe’

CoinVault, siamo alla fine dell'incubo?

Come abbiamo accennato in precedenza, il server C2 da noi scoperto era condiviso con un altro sample del malware, il quale presentava caratteristiche simili (valore di hash MD5: AF0E5A5DF0BE279AA517E2FD65CADD5C); anche questo ulteriore elemento indicava inequivocabilmente la correlazione esistente tra CoinVault e Mailspreader.

Utilizzando i suddetti file eseguibili e avvalendosi di una modalità particolarmente semplice e lineare per rendere l’infezione “invisibile”, i malintenzionati lanciavano un nuovo processo, nascosto quasi istantaneamente, mediante l’esecuzione dell’intero codice email dannoso.

CoinVault, siamo alla fine dell'incubo?

Non abbiamo ancora risposto alla domanda relativa a cosa rappresentino tali file eseguibili, o quale sia stato il loro effettivo utilizzo nell’ambito di questo schema ransomware. Inizieremo, quindi, con ‘mailpv.exe’, file che faceva parte di CoinVault; esso presentava alcuni metodi tipici dei ‘dropper’, per ottenere, di fatto, il payload principale. Per quel che riguarda ‘nk2edit.exe’ e ‘livecv.exe’, una rapida ricerca su Google ha permesso di rivelare la loro vera natura: erano, entrambi, dei tool legittimi, utilizzati per interagire con Outlook e Windows Live Messenger.

L’hash MD5 del file ‘livecv.exe‘ risultava essere D7FC749BB3B10FCC38DE498E8DB2639A; il file presentava, inoltre, una firma verificata per l’eseguibile. Secondo la descrizione dell’utility, fornita dallo stesso sviluppatore, “LiveContactsView è una piccola utility che consente di visualizzare i dettagli relativi a tutti i contatti presenti nel vostro Windows Live Messenger”.

CoinVault, siamo alla fine dell'incubo?

La stessa cosa è avvenuta dopo aver opportunamente verificato il file eseguibile ‘nk2edit.exe‘ (C1A591727E4519AC0D94C59B680E00E4). Si trattava, anche in tale circostanza, di una “comoda” utility, appositamente sviluppata per interagire con l’elenco AutoComplete relativo agli indirizzi e-mail presenti nella rubrica di Microsoft Outlook.

CoinVault, siamo alla fine dell'incubo?

RIP, CoinVault

Dopo la precedente release della nostra ricerca sul ransomware CoinVault, la minaccia IT in questione ed i suoi autori sono rimasti “in silenzio” per un po’ di tempo. Si è dovuto in pratica attendere sino al mese di aprile 2015 per rilevare “in-the-wild” un nuovo campione del malware. Nella circostanza, la novità maggiormente degna di nota era costituita dalla presenza, all’interno del codice binario, di frasi in perfetto olandese. Ora, sappiamo tutti come tale lingua sia relativamente difficile; scrivere in olandese senza alcun errore, quindi, è compito tutt’altro che agevole. Abbiamo pertanto sospettato, fin dall’inizio della nostra indagine, l’esistenza di qualche specifica “connessione” tra i presunti autori del malware e l’Olanda.

Un’altra funzionalità di particolare interesse, aggiunta nell’occasione dai cybercriminali, era poi rappresentata dalla verifica e dall’uccisione di processi di analisi e rilevamento quali processhacker, spyhunter, roguekiller, etc. Inoltre, questa versione del ransomware era dotata di apposito supporto per il salvataggio dei dati di configurazione all’interno di file provvisti di estensione .ini.

Poco tempo dopo la comparsa delle nuove versioni del malware, la polizia olandese è stata in grado di provvedere al sequestro del server C2 utilizzato dai criminali; inoltre, la National High Tech Crime Unit dei Paesi Bassi ci ha fornito gli ID dei wallet Bitcoin, gli IV e le chiavi necessarie per creare e rendere disponibile un tool di decodifica.

Poi…le attività cybercriminali qui esaminate si sono interrotte. Per qualche tempo, in effetti, non si sono più avute notizie riguardo a CoinVault; sembrava proprio che la campagna malevola sopra descritta fosse ormai conclusa.

Hello, Bitcryptor

Era proprio come pensavamo: gli attacchi del ransomware CoinVault erano di fatto terminati. Appena un mese più tardi, tuttavia, ha fatto la sua comparsa sulla scena BitCryptor.

BitCryptor è chiaramente il successore di CoinVault, visto che la maggior parte del codice è esattamente la stessa. BitCryptor, tuttavia, non è come le precedenti versioni di CoinVault, rivolte in special modo al “pubblico” olandese. Tutto ciò che era scritto in olandese è stato in effetti rimosso (così come tutti i collegamenti a CoinVault). È stata inoltre aggiunta una piccola funzione, eseguita in background, la quale controlla, in sostanza, se la vittima ha già provveduto al pagamento.

Conclusioni

Dalla stesura del nostro report iniziale sul ransomware CoinVault, e dalla presentazione della successiva campagna No Ransom, i cybercriminali responsabili della creazione dei temibili malware sopra descritti hanno costantemente cercato di modificare le proprie “creature”, con il preciso intento di continuare a prendere di mira nuove potenziali vittime. Vincere la dura battaglia contro il ransomware presuppone significativi sforzi congiunti da parte di varie componenti: forze dell’ordine, aziende private e utenti finali. Nel caso specifico, attraverso la collaborazione, abbiamo ottenuto un grande risultato: l’arresto di due persone sospette.

Adesso più che mai, tuttavia, si rivela di fondamentale importanza educare gli utenti riguardo al modo in cui tali minacce operano e bersagliano le proprie vittime; un altro fattore essenziale è inoltre rappresentato dal segnalare quanto prima possibile eventuali nuovi incidenti, allo scopo di poter diramare in tempo utile i necessari avvertimenti. Ringraziamo infine il nostro collega ricercatore Bart Blaze per aver condiviso i sample; sì, è stato davvero un “happy reversing”

CoinVault, siamo alla fine dell'incubo?

MD5:

0f1830174d7b08c0d1fcd9aea00cdc97 Trojan-Ransom.MSIL.CoinVault.l
10438b6d4f479779234ef60560d2f40c Trojan-Ransom.MSIL.CoinVault.p
174a3f6982d254a74d2db202fd87ec26 Trojan-Ransom.MSIL.CoinVault.f
289b43d3c234585285a38b2a0f4db2e3 Trojan-Ransom.MSIL.CoinVault.i
2f707ed9f368cd5838f5fb76abcd5bd9 Trojan-Ransom.MSIL.CoinVault.q
30bc17990350f44d74f4a2ca25cdb9e3 Trojan-Ransom.MSIL.CoinVault.s
45db7e51b39fd0669b4f78eedc00ad2f Trojan-Ransom.MSIL.CoinVault.n
4d46310bdfdc5c49615be5c61b13c8ae Trojan-Ransom.MSIL.CoinVault.r
4d52e7e6f4dc77c39c50ed84ce1b10b5 Trojan-Ransom.MSIL.CoinVault.s
60a5b27a525ca21026ffff1f0d0baa6a Trojan-Ransom.MSIL.CoinVault.t
648280e5ba36ff038e97e444ecdb9d8e Trojan-Ransom.MSIL.CoinVault.g
716dfea51b1a8d95859cfda38ff7fa9d Trojan-Ransom.MSIL.CoinVault.j
73848ec02d5d9f4d0fdd5be31ef86449 Trojan-Ransom.MSIL.CoinVault.u
78fd303be07db8fa35b98645bef10ca4 Trojan-Ransom.MSIL.CoinVault.v
7fff4eabcdfb21e7884a240e668f1e8b Trojan-Ransom.MSIL.CoinVault.i
80db8e54a1a28e0167a4d66b3be84a5d Trojan-Ransom.MSIL.CoinVault.af
876050d738f434fc149970cc0d073dbe Trojan-Ransom.MSIL.CoinVault.w
8e1bdc1c484bc03880c67424d80e351d Trojan-Ransom.MSIL.CoinVault.x
a6499dac9a7b59830c77442eb030c93c Trojan-Ransom.MSIL.CoinVault.a
a76df48770a6cffc62e4d1a21749071b Trojan-Ransom.MSIL.CoinVault.m
a90d5d05728fec4c592393c7f4ec173e Trojan-Ransom.MSIL.CoinVault.e
ac4b5ce347820c8817afd49eacee3ec5 Trojan-Ransom.MSIL.CoinVault.y
af0e5a5df0be279aa517e2fd65cadd5c Trojan-Ransom.MSIL.CoinVault.z
aff8fefe76cc51d5e7120ef3f422ce29 Trojan-Ransom.MSIL.CoinVault.ah
b3a7fc445abfba3429094542049063c2 Trojan-Ransom.MSIL.CoinVault.x
b3bb6facbb557ddd9aada93f6b2efab8 Trojan-Ransom.MSIL.CoinVault.h
b3e1c2fce9763a2bdd08223c406bcf7f Trojan-Ransom.MSIL.CoinVault.aa
b92ec8ccc085b853545fc54781d0c1a3 Trojan-Ransom.MSIL.CoinVault.ab
be1f48b6b4c0515ac0d865713968e1c3 Trojan-Ransom.MSIL.CoinVault.ac
cb91d0db64d9245426c7789ed00ba4d3 Trojan-Ransom.MSIL.CoinVault.k
d5f291f2bc38873e145f6e6b13fb05db Trojan-Ransom.MSIL.CoinVault.d
d7732b4132440e9e8902080032897c15 Trojan-Ransom.MSIL.CoinVault.ad
d92e1be4fdfdea99dfa23de27f3bb568 Trojan-Ransom.MSIL.CoinVault.ae
e6227eaefc147e66e3c7fa87a7e90fd6 Trojan-Ransom.MSIL.CoinVault.af
e7414d82d69b902b5bc1efd0f3e201d7 Trojan-Ransom.MSIL.CoinVault.b
e883706376bb45ef53ec52fbd090a29a Trojan-Ransom.MSIL.CoinVault.ai
e8b83233071fd752e29b436113d5ea9d Trojan-Ransom.MSIL.CoinVault.ag
f293970741bbe0ee0c1b8ce6cb045d4d Trojan-Ransom.MSIL.CoinVault.b

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *