Il ransomware Matrix si diffonde attraverso shortcut maligni

Dopo essere scomparso per qualche tempo dai radar, il ransomware Matrix è stato di nuovo individuato in una delle recenti campagne EITest. Brad Duncan, ricercatore specializzato in sicurezza IT, all’opera presso Palo Alto Networks, si è in effetti trovato di fronte ad un caso di diffusione di tale malware attraverso il famigerato exploit pack RIG. In precedenza, Matrix non poteva di certo essere paragonato, per velocità ed effettivo volume di distribuzione, a programmi ransomware quali Cerber e Spora. La specifica circostanza ha subito attirato l’attenzione dell’esperto, il quale ha analizzato in maniera ancor più approfondita il sample individuato, rilevando nello stesso un’indubbia capacità di auto-diffondersi.

Il nuovo Matrix è in grado di infettare altri computer, passando di macchina in macchina attraverso appositi shortcut maligni; inoltre, esso ha la capacità di caricare, sul server utilizzato per gestire l’attacco, tutte le informazioni statistiche riguardo alle tipologie di file progressivamente cifrate.

Il malware in questione si diffonde attraverso siti web compromessi, infettati dallo script EITest. Non appena viene effettuato, sul computer-vittima, il download dell’iframe di RIG, l’exploit pack cerca subito di sfruttare gli eventuali programmi vulnerabili individuati, allo scopo di realizzare l’installazione del ransomware Matrix.

Per diffondersi sugli altri computer presenti nella rete, Matrix, durante le operazioni di codifica dei file, nasconde una specifica cartella, creando poi uno shortcut caratterizzato dallo stesso identico nome; in seguito esso provvede a realizzare una copia del file eseguibile del ransomware, salvando poi la stessa, come <desktop.ini>, nella cartella originale, di fatto ormai nascosta.

Il malware, ad esempio, può nascondere la cartella “Documenti”, e creare poi il relativo shortcut. Supponiamo che l’utente, successivamente, apra tale folder e salvi, al suo interno, uno o più file di qualsiasi genere; la vittima non sospetterà nulla, in quanto tutto continuerà a funzionare regolarmente. Nel frattempo, Matrix copia in <%Temp%\OSw4Ptym.exe> il file <desktop.ini> – il quale, in realtà, è proprio il file eseguibile del ransomware – e ne avvia, in seguito, l’esecuzione. Il malware, in tal modo, può penetrare negli altri computer, sia attraverso i drive di rete, sia tramite eventuali unità rimovibili.

I ricercatori stanno ugualmente osservando come Matrix venga frequentemente aggiornato, e come ogni nuova versione presenti evidenti differenze, rispetto alle precedenti, a livello di caratteristiche possedute, differenze che possono ad esempio riguardare le estensioni dei file cifrati, gli indirizzi e-mail di contatto o i testi delle notifiche contenenti la richiesta di riscatto. Gli esperti ritengono che Matrix potrà essere sottoposto a vari cambiamenti anche nell’immediato futuro, visto che i volumi di distribuzione dello stesso si stanno amplificando.

Matrix è solito rivolgersi molto spesso al proprio server di comando e controllo, segnalando lo stato di avanzamento del processo di codifica. Il malware effettua l’upload, sul server C&C, delle statistiche relative ai tipi di file da esso cifrati, proprio come fa il ransomware Spora, e, a seconda delle diverse tipologie dei file sottoposti a codifica, avanza richieste diverse, per quel che riguarda l’entità del riscatto da pagare.

Matrix, inoltre, provvede ad eliminare Shadow Volume Copies, per escludere ogni possibilità di rollback delle modifiche effettuate, e di ripristino dello stato del sistema precedente all’infezione.

Attraverso il testo del messaggio che compare sullo schermo del computer-vittima nel momento in cui termina il processo di codifica, i malintenzionati comunicano poi, con tono minaccioso, che ogni 12 ore, relativamente al termine concesso per effettuare il pagamento, l’entità del riscatto crescerà, automaticamente, di 100 dollari $. Alla vittima vengono concesse, in totale, 96 ore, trascorse le quali si potrà concretizzare la minaccia di veder compromessi i propri file in maniera permanente.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *