News

RAA, il ransomware interamente in JavaScript

I ricercatori di Bleeping Computer hanno presentato i risultati dell’analisi condotta sul cryptoblocker RAA, malware estorsore creato interamente in JavaScript. Secondo l’autore del blog post, Lawrence Abrams, il nuovo ransomware viene distribuito attraverso allegati e-mail nocivi, mascherati sotto forma di documenti Word.

I primi ad individuare RAA sono stati due ricercatori operanti nel campo della sicurezza informatica: si tratta, per la precisione, di @JAMES_MHT e @benkow_; essi hanno annunciato la loro scoperta su Twitter. Visto che JavaScript, nella sua implementazione standard, non è dotato di funzioni crittografiche avanzate, gli autori del malware hanno sfruttato le potenzialità di CryptoJS, una libreria open source facile da utilizzare, contenente algoritmi di cifratura quali AES, DES, e via dicendo.

Nel caso specifico, RAA codifica i file delle vittime per mezzo di una chiave AES a 256 bit. Esso installa, inoltre, una variante del malware Pony, il noto stealer specializzato nel furto delle credenziali degli utenti, incorporata nel file JS sotto forma di stringa codificata in Base64.

“Gli attacchi basati su JavaScript stanno sicuramente divenendo sempre più diffusi, ma nella maggior parte dei casi il ransomware è, in pratica, codice nocivo compilato, – ha affermato Abrams nel corso dell’intervista rilasciata a Threatpost martedì scorso. – Penso che il considerevole aumento del numero di installer basati su JS, osservato dagli esperti, possa essere semplicemente spiegato dal fatto che, in tal modo, la scrittura e il debugging di tali programmi risultano più agevoli”.

“I virus writer fanno ugualmente uso di tecniche di offuscamento; questo, ovviamente, complica l’analisi eseguita dagli scanner antivirus; il file JS in questione, ad esempio, viene attualmente rilevato in 6 casi su 44”, – ha aggiunto l’esperto, riferendosi a VirusTotal (tale rapporto è in seguito cambiato).

Come molti dei suoi “colleghi”, RAA codifica le immagini, i documenti Word ed Excel, i file di Photoshop, gli archivi .zip e .rar, risparmiando, al tempo stesso, determinati file Program, Windows, AppData e Microsoft. Nella parte finale del nome di ogni file cifrato, viene poi aggiunta l’estensione .locked. Il messaggio contenente la richiesta di pagamento del riscatto è scritto in lingua russa; nella circostanza, si richiede all’utente di inviare il proprio ID, indicato nel messaggio, all’indirizzo di posta <@keemail.me>; si offre, inoltre, la possibilità di decriptare alcuni file di prova. Una volta convintosi del “buon” funzionamento del decryptor, l’utente-vittima dovrebbe poi trasferire l’importo di 0,39 bitcoin (circa 250 dollari) ai “padroni” del ransomware RAA.

Non è ancora chiaro, per il momento, quanto potrà risultare effettivamente riuscito, nell’immediato futuro, tale progetto. Nell’arco di qualche giorno, il file JS nocivo, secondo quanto riferisce Abrams, è stato aperto da 65 utenti; in seguito, tuttavia, il server C&C di RAA è stato chiuso.

All’inizio dell’anno in corso, Fabian Wosar, ricercatore di Emisoft, aveva individuato un ransomware analogo, creato ricorrendo all’utilizzo della piattaforma software Node.js, e poi “impacchettato” in un file eseguibile. RAA, tuttavia, è in assoluto il primo blocker, catturato dai “radar” dei ricercatori, ad essere distribuito sotto forma di file JS standard.

Fonte: Threatpost

RAA, il ransomware interamente in JavaScript

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

  1. carmelo guidetti italia

    molto utile grazie

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox