Un blocker fileless all’attacco dei medici

I malintenzionati continuano a fare esperimenti con i cryptoblocker, provando vari metodi di infezione. Indagando su un cyber-incidente occorso ad una società operante nel settore dell’assistenza sanitaria, gli esperti di Carbon Black hanno individuato una nuova variante di ransomware; è stato osservato, nell’occasione, che per recapitare tale software nocivo alle potenziali vittime, i criminali informatici utilizzano Microsoft Word ed il componente di Windows denominato PowerShell.

Il ransomware, battezzato con il nome di PowerWare, si distingue dagli altri malware crittografici per il fatto di essere fileless; in precedenza, hanno fatto ricorso a questa particolare tecnica malevola gli “operatori” del temibile exploit pack HanJuan, mentre, pochissimo tempo fa, si è avvalso di tale peculiarità lo spyware PowerSniff.

Secondo Carbon Black, il nuovo blocker viene diffuso attraverso messaggi di spam contenenti, in allegato, un documento Word, mascherato sotto forma di fattura. Al momento dell’apertura del file, al destinatario dell’e-mail viene proposto di attivare una macro, necessaria (apparentemente) per una migliore visualizzazione dell’allegato. Se l’utente accoglie la richiesta, viene creato il processo cmd.exe, ed in seguito viene chiamato PowerShell, il framework nativo di Windows, per effettuare il download di uno script dannoso, eseguito successivamente. L’utilizzo di PowerShell, in tal caso, permette di evitare la scrittura dei file su disco, e consente al malware in questione di passare inosservato nell’ambito delle attività legittime condotte sul computer preso di mira.

“Il comando macro viene utilizzato per lanciare PowerShell, e per eseguire il download dello script ransomware, – ha dichiarato ai giornalisti di Threatpost Rico Valdez, senior threat intelligence researcher presso Carbon Black. – Attraverso le macro presenti nei documenti Word possono essere distribuiti molti programmi malware. Nella maggior parte dei casi la macro malevola provvede a scaricare codice binario aggiuntivo, ancor più dannoso (backdoor, etc.). Nel caso specifico, non si verifica il download di alcun file binario eseguibile; tutto il lavoro “sporco” viene in effetti svolto attraverso PowerShell (già presente nel sistema, su basi del tutto legittime)”.

Secondo Valdez, il nuovo cryptoblocker fa impropriamente uso di PowerShell anche per le operazioni di codifica dei file, una volta compromesso il sistema. “Il programma che, di fatto, realizza la cifratura dei file, è PowerShell, – ha affermato l’esperto. – Il relativo script viene quindi scaricato e “somministrato” a PowerShell. Abbiamo pertanto a che fare, in questo caso, con un malware di stampo non tradizionale; qui, in effetti, non viene richiesto alcun codice eseguibile aggiuntivo: quello che occorre è soltanto un documento di testo (script)”.

I file della vittima vengono così criptati: per fornire la relativa chiave di decodifica, i malintenzionati pretendono il pagamento di un riscatto pari a 500 dollari; trascorse due settimane dal momento dell’infezione, la somma richiesta viene addirittura raddoppiata, raggiungendo così i 1.000 dollari.

PowerWare non è l’unico cryptoblocker a far uso delle macro di Microsoft Office per avviare il processo di infezione, nonostante queste ultime risultino disattivate di default sui computer Windows. Questo “vettore”, in effetti, è stato già sperimentato da Locky, il ransomware che ha recentemente colpito le reti informatiche di strutture ospedaliere statunitensi situate, rispettivamente, ad Hollywood e nel Kentucky. Lo stesso Locky, tuttavia, ha utilizzato le macro per il download dei file dannosi sulla macchina compromessa, mentre PowerWare cerca di non ricorrere a tale modalità.

“Questo attacco si basa sulla notevole forza di persuasione dell’ingegneria sociale, capace, nella circostanza, di indurre l’utente ad attivare la macro malevola, – afferma Valdez. – Le macro sono incluse in molti documenti Word e numerosi fogli di calcolo Excel; l’utente, pertanto, può anche non sospettare in alcun modo l’inganno: tutto dipende, in sostanza, dal grado di esperienza e conoscenza di cui la potenziale vittima è in possesso, così come dalle peculiarità dell’ambiente lavorativo in cui quest’ultima opera”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *