Maktub Locker, il ransomware cortese, raffinato e professionale

Riferendosi a quanto pubblicato di recente dagli esperti, Softpedia lancia l’allarme riguardo alla comparsa di un nuovo sofisticato attore – elaborato in maniera particolarmente accurata – sul mercato dei cryptoblocker: si tratta di “Maktub” (l’espressione, tradotta dall’arabo, significa “così è scritto”). Tale malware si distingue dai suoi “confratelli” per l’utilizzo impeccabile della lingua inglese, per la “correttezza” con la quale si rivolge alle proprie vittime, per il design artistico della GUI (interfaccia grafica utente) e per l’elevato livello del progetto software stesso.

Il nuovo ransomware è stato scoperto una settimana e mezzo fa da Yonathan Klijnsma, Senior Threat Intelligence Analyst presso Fox-IT, società olandese specializzata in sicurezza IT. Una descrizione generale di Maktub Locker è stata poi fornita, in maniera davvero tempestiva, da Lawrence Abrams di BleepingComputer, il quale ha accompagnato la notizia da egli fornita con numerosi screenshot; il ricercatore è rimasto colpito, in particolar modo, dalla grafica utilizzata dai malfattori per la realizzazione del sito .onion – una grafica, a quanto pare, del tutto originale; i designer, di fatto, hanno preso in prestito soltanto il logo. Un’analisi dettagliata del malware è stata eseguita, subito dopo, da Malwarebytes, esaminando i sample forniti da Yonathan Klijnsma e dal MalwareHunterTeam.

Attualmente, Maktub viene distribuito tramite messaggi e-mail di spam contenenti un allegato malevolo; il file eseguibile, nocivo, è provvisto di estensione .scr e di relativa icona, la quale, a prima vista, induce a ritenere che l’allegato in questione possa recare un documento PDF o TXT. All’apertura di tale file, l’utente-vittima visualizza, in pratica, un documento Word (in formato .rtf), attraverso il quale si riferisce, in maniera piuttosto generica, riguardo ad un non ben specificato “aggiornamento dei termini di servizio”; tutto questo, naturalmente, contribuisce a mascherare ancor meglio l’inganno. Di fatto, mentre l’utente esamina il documento, il malware esegue, in modalità di background, l’operazione di codifica.

La chiave AES-256 utilizzata per la cifratura viene generata localmente; ai file codificati viene assegnata un’estensione arbitraria, univoca per ogni utente-vittima, la quale viene criptata, assieme alla chiave AES, per mezzo di una chiave pubblica RSA a 2048 bit, incorporata nel codice di Maktub (la chiave privata viene conservata dagli attacker). Nel ricercare i file occorrenti, il nuovo blocker, come molti dei suoi “colleghi”, opera mediante l’utilizzo di due distinti elenchi: una blacklist (file e cartelle che non debbono essere toccati) ed una whitelist (contenente, invece, l’elenco delle estensioni consentite). La ricerca viene effettuata sia sulle unità disco locali, sia sulle unità di rete e rimovibili.

È di particolare interesse osservare come, prima di iniziare la codifica, il malware verifichi il layout della tastiera; se la vittima utilizza la lingua russa, Maktub termina i propri processi, rinunciando all’operazione di cifratura. Un ulteriore tratto distintivo consiste nel fatto che, prima di essere “elaborato”, ogni file viene sottoposto a compressione; tale procedura viene eseguita, con ogni probabilità, per accelerare il processo di codifica.

La chiave cifrata viene utilizzata in qualità di ID della vittima, e viene collocata in un file html creato all’interno di ogni cartella che presenta contenuti criptati. Una volta completata la codifica, l’utente visualizzerà sul proprio schermo un minaccioso messaggio contenente l’esplicita richiesta di riscatto, ed alcune brevi istruzioni relative alla modalità di pagamento prevista. Il sito contenente le informazioni aggiuntive è situato nella rete Tor; esso è accessibile grazie all’ID personale, e si caratterizza per il fatto di essere composto, in totale, da cinque pagine, realizzate magistralmente, quasi in veste artistica. Queste ultime, al pari della richiesta di riscatto iniziale, si presentano in lingua inglese, senza ulteriori varianti.

image001

La home page del sito .onion di Maktub (fonte:BleepingComputer).

Al “visitatore” del sito malevolo viene comunicato che il pagamento potrà essere effettuato entro 15 giorni; ogni tre giorni, tuttavia, la somma da pagare verrà progressivamente aumentata, passando dagli iniziali 1,4 bitcoin (~ 600 dollari USD) all’importo massimo di 3,9 bitcoin (~ 1.650 dollari USD), previsto in caso di pagamento oltre il termine di scadenza; in quest’ultimo caso, però, i malintenzionati non forniscono alcuna garanzia riguardo al fatto che la chiave di decodifica possa poi risultare ancora disponibile. Nella circostanza, come prova di “lealtà” e credibilità riguardo alle promesse fatte, gli attacker offrono all’utente l’opportunità di poter decriptare gratuitamente due file, con dimensioni sino a 200 KB, a scelta della vittima.

L’analisi del codice nocivo condotta da Malwarebytes ha evidenziato come, per proteggere la propria “creatura”, i virus writer facciano uso di un solido cryptor (molto probabilmente di natura commerciale), così come di appositi tool FUD (Fully UnDetectable), per contrastare il rilevamento del malware. Secondo i ricercatori, i sample di Maktub vengono effettivamente rilevati con particolare difficoltà nelle prime ore, e persino nei primi giorni, della campagna di spam.

Aggiungiamo, qui di seguito, un paio di interessanti tratti peculiari riguardo al ritratto del ransomware Maktub disegnato da Malwarebytes. Il codice maligno si nasconde sotto vari livelli di offuscamento, e viene spacchettato nella memoria allocata dinamicamente. La codifica AES viene eseguita mediante l’utilizzo delle funzioni di CryptoAPI, interfaccia di programmazione applicazioni presente nell’OS Windows.

“Maktub Locker è stato chiaramente creato da persone che conoscono molto bene il proprio “mestiere”, – concludono i ricercatori. – Il livello di complessità di questo malware testimonia in maniera inequivocabile come tale “prodotto” sia il risultato del “lavoro” congiunto di specialisti ed esperti operanti in vari settori. Tutto, proprio tutto, a partire dalla compressione del codice, per terminare con il sito web allestito dai malintenzionati, è stato realizzato in maniera davvero accurata”.

Lo screenshot qui sopra inserito riproduce la notifica di Maktub contenente la richiesta di pagamento del riscatto (fonte: BleepingComputer).

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *