TeslaCrypt amplia l’elenco dei file e rinforza i meccanismi di autodifesa

TeslaCrypt, come molti dei suoi “confratelli”, non è affatto incline ad accontentarsi di quello che ha già raggiunto. In queste ultime due settimane, i ricercatori di Endgame hanno individuato due nuovi sample del noto cryptoblocker, armati di ulteriori strumenti di offuscamento ed occultamento, e provvisti, inoltre, di un elenco ancor più lungo di estensioni di file.

Come ha riferito a Threatpost l’esperta di sicurezza informatica Amanda Rousseau, i nuovi sample del malware vengono distribuiti in massa tramite un apposito file malevolo, allegato a messaggi e-mail di spam mascherati sotto forma di notifiche di spedizione, provenienti (in apparenza!) da società di logistica di primaria importanza. La versione 4.1A, secondo Endgame, è comparsa all’incirca una settimana fa; oltre alle estensioni già conosciute, essa prende di mira ugualmente i file .7z; .apk; .asset; .avi; .bak; .bik; .bsa; .csv; .d3dbsp; .das; .forge; .iwi; .lbf; .litemod; .litesql; .ltx; .m4a; .mp4; .rar; .re4; .sav; .slm; .sql; .tiff; .upk; .wma; .wmv e .wallet.

La diffusione di TeslaCrypt attraverso lo spam rappresenta anch’essa un significativo cambiamento; in effetti, nelle recenti campagne TeslaCrypt, per distribuire tale blocker venivano utilizzati gli exploit pack, così come i redirect da siti WordPress e Joomla. Adesso, invece, la vittima deve aprire il file ZIP allegato per attivare il downloader JavaScript, il quale fa uso di Wscript (un componente di Windows) per scaricare il binario di TeslaCrypt dal dominio greetingsyoungqq[.]com.

Secondo quanto asserisce la ricercatrice sopra menzionata, l’analisi della versione aggiornata del cryptoblocker si è rivelata alquanto difficoltosa, poiché il malware in questione lancia numerosi flussi di programma e varie operazioni di debugging, per rendere particolarmente complesso il compito svolto dagli strumenti di protezione. “Sembra proprio che tale software nocivo cerchi in ogni modo di nascondere le stringhe nella memoria, – afferma Amanda Rousseau. – Per l’antivirus, quindi, è molto più difficile individuare le stesse, se non esegue la scansione della memoria”.

TeslaCrypt amplia l'elenco dei file e rinforza i meccanismi di autodifesa

Anche l’utilizzo di Wscript complica in maniera considerevole il rilevamento del nuovo TeslaCrypt da parte delle soluzioni anti-malware, visto che il traffico appare, a tutti gli effetti, in veste di comunicazioni del tutto legittime nell’ambito di Windows. Secondo Amanda Rousseau, agli strumenti utilizzati per il rilevamento sono occorsi ben quattro giorni per riconoscere questa tecnica malevola, ed inserire così la stessa nel novero delle firme. La durata operativa dei server C&C di comando e controllo che “ospitano” TeslaCrypt è piuttosto limitata; nel momento in cui essa termina, i malintenzionati cambiano l’hosting.

La versione aggiornata del cryptoblocker utilizza ugualmente un oggetto COM per nascondere le stringhe di codice estratte, e provvede ad eliminare gli identificatori di zona, per far sì che gli stessi non vengano individuati. Inoltre, allo scopo di evitare il possibile monitoraggio, il malware termina tutta una serie di processi Windows: Task Manager, Registry Editor, SysInternals Process Explorer, System Configuration e Command Shell. Per assicurarsi, poi, una presenza permanente all’interno del sistema infetto, il nuovo TeslaCrypt copia se stesso su disco, e crea il corrispondente valore di registro.

Una dettagliata descrizione tecnica della nuova versione del software maligno, incluso i metodi di codifica e le tecniche di anti-debugging da esso utilizzati, è disponibile sul blog di Endgame.

Amanda Rousseau, nei propri commenti, ha fatto notare come, nel corso dei test eseguiti, i nuovi sample del malware siano giunti alle unità di rete collegate, ed abbiano cercato, anche in tale circostanza, di criptare i file in esse custoditi. I sample in questione tentano ugualmente di rimuovere la Volume Shadow Copy (copia shadow del volume), un servizio di backup di Windows, al fine di privare la vittima della relativa possibilità di ripristino.

Ci sono, tuttavia, anche buone notizie: la versione aggiornata di TeslaCrypt codifica i file per mezzo della chiave di crittografia AES 256, e non con la chiave RSA a 4096 bit, come viene invece indicato nei messaggi utilizzati dai malfattori per richiedere il pagamento del riscatto; inoltre, le informazioni necessarie per l’operazione di decodifica rimangono sulla macchina infetta. “Abbiamo esaminato l’algoritmo di cifratura: esso funziona correttamente, ma, di fatto, lascia il file di ripristino sul sistema, – afferma la ricercatrice di Endgame. – Se prendiamo il precedente programma “cracker” utilizzato per TeslaCrypt, e ne aggiorniamo il codice conformemente alle nuove scoperte effettuate, sarà possibile realizzare la decodifica”. Circa un anno fa, Cisco ha rilasciato un’utility a riga di comando in grado di decifrare i file compromessi da TeslaCrypt.

Amanda Rousseau ha inoltre osservato come gli autori del cryptoblocker “nuova maniera” abbiano preso in prestito un’elevata quantità di codice dalle versioni precedenti del malware, per ciò che riguarda, in particolar modo, l’utilizzo di oggetti COM, ed alcune tecniche di debugging. “Ho l’impressione che essi stiano quasi alle calcagna dei ricercatori, monitorando attentamente il codice di decrittazione reso disponibile su Github e come open source, – dichiara l’esponente di Endgame, sottolineando i rapidi cambiamenti intervenuti nel corso di questo ultimo mese, ad iniziare dalla versione 4.0, per giungere, infine, alla release 4.1A. – Vengono introdotte lievi modifiche in ogni versione del malware, e nel momento in cui viene rilasciato ogni nuovo cracker. Essi prendono il meglio di quello che è stato utilizzato un paio di mesi prima, e ne fanno poi uso sul momento”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *