RAA, il ransomware interamente in JavaScript

I ricercatori di Bleeping Computer hanno presentato i risultati dell’analisi condotta sul cryptoblocker RAA, malware estorsore creato interamente in JavaScript. Secondo l’autore del blog post, Lawrence Abrams, il nuovo ransomware viene distribuito attraverso allegati e-mail nocivi, mascherati sotto forma di documenti Word.

I primi ad individuare RAA sono stati due ricercatori operanti nel campo della sicurezza informatica: si tratta, per la precisione, di @JAMES_MHT e @benkow_; essi hanno annunciato la loro scoperta su Twitter. Visto che JavaScript, nella sua implementazione standard, non è dotato di funzioni crittografiche avanzate, gli autori del malware hanno sfruttato le potenzialità di CryptoJS, una libreria open source facile da utilizzare, contenente algoritmi di cifratura quali AES, DES, e via dicendo.

Nel caso specifico, RAA codifica i file delle vittime per mezzo di una chiave AES a 256 bit. Esso installa, inoltre, una variante del malware Pony, il noto stealer specializzato nel furto delle credenziali degli utenti, incorporata nel file JS sotto forma di stringa codificata in Base64.

“Gli attacchi basati su JavaScript stanno sicuramente divenendo sempre più diffusi, ma nella maggior parte dei casi il ransomware è, in pratica, codice nocivo compilato, – ha affermato Abrams nel corso dell’intervista rilasciata a Threatpost martedì scorso. – Penso che il considerevole aumento del numero di installer basati su JS, osservato dagli esperti, possa essere semplicemente spiegato dal fatto che, in tal modo, la scrittura e il debugging di tali programmi risultano più agevoli”.

“I virus writer fanno ugualmente uso di tecniche di offuscamento; questo, ovviamente, complica l’analisi eseguita dagli scanner antivirus; il file JS in questione, ad esempio, viene attualmente rilevato in 6 casi su 44”, – ha aggiunto l’esperto, riferendosi a VirusTotal (tale rapporto è in seguito cambiato).

Come molti dei suoi “colleghi”, RAA codifica le immagini, i documenti Word ed Excel, i file di Photoshop, gli archivi .zip e .rar, risparmiando, al tempo stesso, determinati file Program, Windows, AppData e Microsoft. Nella parte finale del nome di ogni file cifrato, viene poi aggiunta l’estensione .locked. Il messaggio contenente la richiesta di pagamento del riscatto è scritto in lingua russa; nella circostanza, si richiede all’utente di inviare il proprio ID, indicato nel messaggio, all’indirizzo di posta <@keemail.me>; si offre, inoltre, la possibilità di decriptare alcuni file di prova. Una volta convintosi del “buon” funzionamento del decryptor, l’utente-vittima dovrebbe poi trasferire l’importo di 0,39 bitcoin (circa 250 dollari) ai “padroni” del ransomware RAA.

Non è ancora chiaro, per il momento, quanto potrà risultare effettivamente riuscito, nell’immediato futuro, tale progetto. Nell’arco di qualche giorno, il file JS nocivo, secondo quanto riferisce Abrams, è stato aperto da 65 utenti; in seguito, tuttavia, il server C&C di RAA è stato chiuso.

All’inizio dell’anno in corso, Fabian Wosar, ricercatore di Emisoft, aveva individuato un ransomware analogo, creato ricorrendo all’utilizzo della piattaforma software Node.js, e poi “impacchettato” in un file eseguibile. RAA, tuttavia, è in assoluto il primo blocker, catturato dai “radar” dei ricercatori, ad essere distribuito sotto forma di file JS standard.

Fonte: Threatpost

Post correlati

C'è 1 commento
  1. carmelo guidetti italia

    molto utile grazie

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *