Il ransomware CryptXXX distribuito in massa attraverso i kit di exploit

Nel mondo dei cryptoblocker è tutto in rapida evoluzione; il malware che oggi fa scalpore, può finire facilmente nel dimenticatoio il giorno successivo.

In tal senso, l’esempio di Locky calza a pennello. Sino a poco tempo fa, questo temibile ransomware crittografico veniva distribuito in maniera aggressiva sui computer dei potenziali utenti-vittima, ed era in grado di compromettere seriamente il funzionamento di importanti cliniche, creando situazioni di vera e propria emergenza: Locky, di fatto, impediva al personale dei complessi ospedalieri di poter accedere ai dati relativi ai pazienti ricoverati, ed ostacolava seriamente i trattamenti terapeutici in corso. Il picco delle attività malevole condotte da Locky si è registrato negli scorsi mesi di febbraio e marzo; già per la fine del successivo mese di aprile, tuttavia, questo malware è stato in pratica messo in disparte, ed ha ceduto la palma del primato ad un altro potente blocker, denominato CryptXXX.

Alla fine di aprile, i ricercatori di Palo Alto Networks hanno pubblicato informazioni riguardo alle più recenti cyber-campagne condotte dai malfattori, finalizzate alla diffusione di CryptXXX mediante l’utilizzo dell’exploit pack Angler. Secondo gli esperti, l’artefice di tali campagne malevole è lo stesso identico gruppo criminale che, solo due settimane prima, era intento a distribuire Locky attraverso un altro kit di exploit, il famigerato Nuclear.

Il ricercatore Brad Duncan afferma che l’attuale campagna CryptXXX, denominata Afraidgate da Palo Alto – visto che i gateway utilizzati dai cybercriminali risultano collocati nel dominio afraid[.]org – è già la seconda della serie; nella circostanza, assieme al cryptoblocker, alle vittime viene recapitato pseudo-Darkleech. In qualità di intermediari, in entrambe le campagne, vengono utilizzati il kit Angler, preposto ad attaccare le eventuali vulnerabilità rilevate nei browser, e il downloader Bedep, il quale provvede a caricare, sul computer sottoposto ad attacco, sia il suddetto ransomware, sia malware di tipo click-fraud (clicker).

L’impiego di Angler, secondo Duncan, è in grado di garantire una diffusione di CryptXXX ancor più ampia, poiché tale exploit pack viene aggiornato più rapidamente rispetto ai suoi diretti concorrenti. È di particolare interesse anche il coinvolgimento, in questo schema, di Bedep; si tratta di un loader di tipo fileless, il quale non lascia tracce sull’hard disk. “I recenti aggiornamenti di cui ha beneficiato Bedep, hanno reso più complicata l’analisi di tale programma malware mediante l’utilizzo della virtual machine, – scrive Brad Duncan sul blog di Palo Alto Networks. – Il comportamento di Bedep cambia, quando esso rileva una VM. In effetti, in questo caso, Bedep si astiene dall’effettuare il download di CryptXXX, mentre il traffico click-fraud osservato dopo che si è prodotta l’infezione, risulta diverso da quello generato, di solito, da un normale host fisico”.

Ricordiamo che, alla fine di aprile, Kaspersky Lab ha reso disponibile online, in forma gratuita, un apposito decryptor, uno strumento di cui avvalersi per la decodifica dei file compromessi da CryptXXX.

La seria minaccia rappresentata da pseudo-Darkleech è stata esaminata in dettaglio, nello scorso mese di marzo, nel blog di Sucuri; questo insidioso malware viene iniettato non solo sui siti WordPress, ma anche all’interno dei server Microsoft IIS. Gli attacchi informatici condotti attraverso l’utilizzo dello stesso hanno evidenziato una rapida evoluzione; alla fine dell’anno passato, inoltre, tali infezioni sono state prodotte con l’attiva partecipazione di Angler.

Locky, nel frattempo, non è scomparso del tutto; esso viene tuttora distribuito per mezzo di documenti Word contenenti una macro dannosa. I messaggi di spam nocivo diffusi dai malintenzionati imitano, di solito, le notifiche relative a fatture insolute, oppure riguardanti determinate spedizioni.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *