Il ransomware Cerber distribuito sempre più attivamente attraverso le botnet Dridex

Dall’inizio del mese di maggio, FireEye sta osservando un repentino aumento del numero delle campagne di spam finalizzate alla diffusione del temibile ransomware Cerber. Secondo i ricercatori, gli attacker si avvalgono della stessa infrastruttura utilizzata, in precedenza, per distribuire il famigerato Trojan bancario Dridex.

Il cryptoblocker Cerber, scoperto lo scorso mese di febbraio, si distingue per il fatto che esso è in grado di esporre “ad alta voce” le proprie richieste nei confronti della vittima. Sono stati rilevati numerosi casi in cui, per distribuire tale malware, i malintenzionati hanno fatto ricorso all’utilizzo di un exploit zero-day destinato a sfruttare la vulnerabilità CVE-2016-1019, individuata in Adobe Flash Player; l’exploit in questione è risultato far parte della composizione degli exploit kit Magnitude e Nuclear. Al momento attuale, tuttavia, secondo i dati raccolti da FireEye, il suddetto ransomware – almeno dal 4 maggio in poi – viene recapitato attraverso messaggi di spam nocivo, diffusi per mezzo delle botnet Dridex.

“Vista la partnership con la stessa entità cybercriminale che ha già dato ampiamente prova della propria “efficacia” distribuendo Dridex su larga scala, tramite massicce campagne di spam malevolo, è del tutto lecito attendersi che Cerber possa ben presto trasformarsi in una minaccia e-mail altrettanto seria, al pari di Dridex e Locky”, – scrivono gli analisti di FireEye in un post pubblicato sul proprio blog.

Il malware Dridex ha preso di mira, per lungo tempo, sia gli utenti corporate che quelli privati, realizzando il furto delle credenziali correlate alla sfera finanziaria delle vittime. Lo strumento principale utilizzato per la diffusione di tale programma Trojan si è rivelato essere costituito da botnet capaci di inviare, ogni giorno, milioni di e-mail di spam.

Cerber, secondo FireEye, si avvale dello stesso identico scenario di spam utilizzato da Dridex: alla potenziale vittima viene in effetti recapitato un messaggio di posta elettronica contenente un allegato maligno, camuffato sotto forma di fattura. Se il destinatario dell’e-mail provvede ad aprire il documento, viene subito richiesta l’attivazione della macro dannosa incorporata in quest’ultimo. Così, nel momento in cui la macro risulta attivata, viene caricato, sul computer dell’utente, un VBScript contenente codice nocivo in forma offuscata, il cui scopo principale è rappresentato dall’upload del malware in causa. Un simile schema di infezione aiuta i malintenzionati a bypassare le policy di sicurezza che prevedono l’impiego di specifici e-mail gateway, preposti a rilevare e bloccare gli script dannosi recapitati direttamente tramite gli allegati malevoli.

L’analisi condotta dagli esperti ha evidenziato che, in qualità di tecnica di auto-difesa, il VBScript maligno utilizza del codice “spazzatura”, adibito ad ostacolare il reverse engineering e le eventuali operazioni di rilevamento.

Prima di caricare Cerber, questo script verifica, innanzitutto, la presenza della connessione Internet; in caso affermativo, esso richiede al proprio sito, tramite HTTP, un determinato file jpeg. “Negli header della richiesta HTTP esso imposta il valore Range su “bytes=11193-“, segnalando in tal modo al server web che quest’ultimo dovrà restituire esclusivamente il contenuto a partire dall’offset 11193 del suddetto file”, – spiegano i ricercatori. Secondo questi ultimi, la stessa tecnica, a livello di caricamento del payload nocivo finale – verifica inclusa – è stata utilizzata, in precedenza, da Ursnif (alias Rovnix) e Dridex.

Con il Trojan Dridex, Cerber condivide ugualmente l’impiego della sola lingua inglese nell’ambito delle campagne di spam, così come determinate “imitazioni” della corrispondenza e-mail legittima: in particolare, i messaggi malevoli destinati a convogliare i due temibili malware sui computer-vittima, possono comunicare al destinatario della missiva l’esistenza di una fattura insoluta, oppure l’impossibilità di recapitare qualche spedizione postale, e così via.

Gli esperti di FireEye, durante le analisi svolte, hanno rilevato che il sample di Cerber da essi esaminato prendeva di mira soprattutto i documenti Word; altri target prediletti erano poi i file correlati a Microsoft Outlook ed a Steam. la nota piattaforma web dedicata al gaming online. Per giungere ai file riconducibili a tali tipologie, aperti sulla macchina utilizzata nella circostanza dai ricercatori, il malware in questione provvedeva a terminare tutti i processi collegati ai suddetti programmi. È infine di particolare interesse osservare come il file di configurazione di Cerber offra la possibilità di aggiungere un modulo adibito all’invio di spam; tale specifica funzionalità, ad ogni caso, sembra essere ancora in fase di sperimentazione.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *