CryptXXX: “migliorati” i meccanismi di autodifesa e la tecnica di cifratura

Gli operatori di CryptXXX, temibile ransomware in rapida diffusione, hanno realizzato un significativo update, perfezionando il sistema utilizzato per la codifica dei file target, ed implementando nuove tecnologie di protezione nei confronti del possibile rilevamento e dell’eventuale analisi. Secondo SentinelOne, la nuova versione del ransomware, in sole due settimane, ha già fatto intascare ai propri “padroni”, in bitcoin, l’equivalente di circa 50.000 dollari.

Come scrive nel blog della società statunitense l’analista Caleb Fenton, senior security researcher presso SentinelOne, il nuovo CryptXXX viene prevalentemente distribuito attraverso lo spam. Questo rivale – a tutti gli effetti – del famigerato Locky, è comparso da poco sulla scena del malware, ma sembra evolversi in maniera molto rapida. Di fatto, alla fine dello scorso mese di maggio era stata individuata un’ulteriore iterazione di CryptXXX, provvista di un modulo maligno adibito al furto delle credenziali relative a varie applicazioni.

Come hanno dimostrato le analisi condotte dagli esperti, l’attuale aggiornamento del blocker è stato concepito, in primo luogo, per eliminare tutti i possibili difetti, mancanze ed errori che consentono di poter creare gli appositi tool per la decodifica gratuita dei file compromessi. Così, il decryptor aggiunto alla speciale utility sviluppata da Kaspersky Lab, non è in grado di neutralizzare la release 3.100 di CryptXXX, sebbene la riconosca, e nonostante esso risulti tuttora pienamente efficace nei confronti delle versioni 1 e 2 di tale malware.

La nuova variante di CryptXXX, secondo SentinelOne, codifica i file utilizzando una combinazione di due diversi algoritmi di cifratura, RSA e RC4. Inoltre, al nome del file criptato viene aggiunta l’estensione .cryp1 (in precedenza venivano utilizzate .crypz e .crypt). L’esame del contenuto del wallet bitcoin indicato dai malintenzionati per eseguire il pagamento anticipato dell’operazione di decodifica, ha evidenziato che nel periodo intercorrente tra il 4 ed il 21 giugno scorsi sono stati realizzati, verso tale portafoglio virtuale, oltre 60 trasferimenti, del valore unitario di 1,2 o 2,4 bitcoin.

L’analisi condotta sul nuovo sample ha ugualmente permesso di individuare la presenza di un’ulteriore tecnica di camuffamento: il payload nocivo del ransomware, in effetti, era stato occultato all’interno di una copia della DLL normalmente utilizzata dall’editor video CyberLinkPowerDVD Cinema. “Una rapida verifica delle proprietà della DLL malevola ha permesso di rilevare che quest’ultima, con ogni probabilità, utilizza gli elementi di una DLL legittima, denominata _BigBang.dll”, – scrive Fenton sul blog.

Persino dopo la decompressione, il contenuto della DLL appariva “per lo più innocuo”; un’analisi più approfondita, tuttavia, ha consentito di poter confermare che si tratta solo ed esclusivamente di un vero e proprio camuffamento. Varie funzioni importate, inerenti alla cifratura, sono in effetti apparse ai ricercatori chiaramente improprie e fuori luogo. “L’elenco delle esportazioni risulta stranamente troppo esteso, per un programma che non è provvisto, a quanto pare, di effettive funzionalità legittime, – aggiunge l’esperto. – Inoltre, le funzioni importate ed esportate si differenziano in maniera radicale dalle funzionalità possedute dalla _BigBang.dll legittima. Possiamo quindi tranquillamente supporre che tali funzioni siano state inserite allo scopo di ostacolare l’analisi”.

L’esecuzione della DLL maligna viene poi lanciata attraverso una routine di decodifica e decompressione. L’unpacker determina ugualmente la posizione della cartella Startup di Windows, tramite la richiesta della chiave di registro “SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Startup”. Ciò si rivela necessario al fine di custodire la notifica HTML contenente la richiesta di pagamento del riscatto e le istruzioni occorrenti per poter eseguire l’operazione di ripristino dei file cifrati, in modo tale che la notifica in questione verrà poi visualizzata dall’utente-vittima ad ogni avvio del computer.

“Il sample sottoposto ad analisi è stato avviato, inizialmente, tramite uno shortcut Windows (file .lnk), – sottolinea Fenton. – Lo shortcut punta a rundll32.exe F0F3.tmp.dll, MSX3”. L’esecuzione del comando rundll32 fa sì che venga caricata la libreria a collegamento dinamico F0F3.tmp.dll; successivamente, viene eseguita la funzione MSX3. “Una volta recuperato l’indirizzo di MSX3, l’esecuzione salta a tale indirizzo, ed ha così inizio il processo di codifica dei file, il quale conduce, infine, alla richiesta di pagamento del riscatto”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *