News

Un Ransomware JavaScript “as-a-Service”

Il modello Malware-as-a-Service (malware come servizio) non rappresenta di certo una novità. Da vari anni, ormai, i cybercriminali reclamizzano costantemente, nell’underground della Rete, non solo gli stessi strumenti nocivi, ma anche i servizi relativi alla gestione e al supporto tecnico per Trojan bancari, kit di exploit, etc.

Nei primi giorni del nuovo anno, alcuni ricercatori hanno pubblicato i risultati dell’analisi condotta su un nuovo servizio RaaS (ransomware-as-a-service, ransomware come servizio), incentrato sulla diffusione del primo cryptoblocker creato esclusivamente mediante l’utilizzo della tecnologia JavaScript. Il download di Ransom32 può essere effettuato attraverso un server web nascosto nei meandri della rete Tor. Chiunque può scaricare tale ransomware: occorre semplicemente indicare un indirizzo Bitcoin, da utilizzare per ricevere, in seguito, gli introiti ottenuti grazie alle estorsioni praticate.

Il programma malware in questione è stato creato attraverso l’utilizzo della piattaforma NW.js, del tutto legittima; esso è in grado di ricercare e codificare decine di tipologie diverse di file, per poi esigere il pagamento di un riscatto in criptovaluta. Gli autori di Ransom32 percepiscono una commissione pari al 25% su ogni transazione effettuata.

Per coloro che “usufruiscono” del servizio RaaS viene ugualmente messa a disposizione un’interfaccia di amministrazione, la quale consente ai cybercriminali di personalizzare i messaggi che saranno visualizzati dalle vittime dell’infezione, definire l’importo del riscatto, bloccare lo schermo del computer infetto, ridurre il carico sulla CPU durante l’esecuzione del processo di cifratura dei file e impostare il timeout di attesa. L’interfaccia può essere utilizzata anche per monitorare e raccogliere vari dati statistici: tenere traccia del numero complessivo di installazioni malevole effettuate, del numero totale delle vittime che hanno provveduto a pagare il riscatto richiesto, e dell’importo in Bitcoin relativo ai profitti realizzati.

Le prime notizie riguardo a Ransom32 sono apparse sui forum di BleepingComputer; in seguito, uno dei sample del malware è stato sottoposto ad analisi da parte degli esperti di Emsisoft. Secondo il ricercatore Fabian Wosar, la dimensione del file scaricato per condurre l’indagine si è rivelata essere indubbiamente considerevole (22 MB), elemento del tutto insolito per un cryptoblocker. È inoltre emerso che il malware era stato realizzato sotto forma di un archivio WinRAR, contenente vari file, tra cui un file eseguibile Chromium, mascherato in maniera tale da sembrare, a tutti gli effetti, il browser Chrome. Si tratta, in realtà, di un’applicazione NW.js, contenente sia il codice dannoso, sia il framework necessario per l’esecuzione dello stesso.

Occorre sottolineare, nella circostanza, che la piattaforma NW.js consente di sviluppare applicazioni JavaScript desktop non solo per il sistema operativo Windows, ma anche per Mac OS X e Linux. “Il codice JavaScript, in genere, viene rigorosamente isolato tramite sandbox, a livello di browser, e non ha, pertanto, alcuna reale possibilità di “entrare in contatto” con il sistema in cui esso viene eseguito, – precisa Fabian Wosar. – NW.js offre decisamente maggiore libertà per quanto riguarda l’interazione con il sistema operativo, consentendo a JavaScript di fare, in pratica, quasi tutto quello che fanno i “normali” linguaggi di programmazione, quali, ad esempio, C++ o Delphi. Per lo sviluppatore si tratta, indiscutibilmente, di un grande vantaggio, in quanto egli è in grado di trasformare, con relativa facilità, la propria applicazione web in una normale applicazione desktop. NW.js si rivela inoltre di particolare utilità anche per coloro che sviluppano le tradizionali applicazioni desktop, in quanto permette di eseguire lo stesso identico JavaScript su varie piattaforme. Risulta in tal modo possibile scrivere un’applicazione NW.js una sola volta, dopodiché quest’ultima potrà essere immediatamente utilizzata su Windows, Linux e Mac OS X”.

Secondo Emsisoft, al momento attuale Ransom32 attacca esclusivamente i sistemi Windows; ad ogni caso, con l’introduzione di alcune modifiche, il ransomware qui esaminato potrebbe trasformarsi in una minaccia di tipo cross-platform.

A livello di comportamento, il nuovo blocker si rivela simile agli altri malware riconducibili a questa specifica categoria di programmi dannosi. Esso viene distribuito assieme ad un apposito client Tor, utilizzato da Ransom32 per connettersi con il server C&C ed il wallet Bitcoin adibito a raccogliere i pagamenti effettuati dalle vittime della cyber-estorsione. Tale connessione viene ugualmente utilizzata per effettuare lo scambio delle chiavi di cifratura.

“Il servizio RaaS denominato Ransom32 si rivela particolarmente pericoloso in quanto JavaScript e HTML sono tecnologie cross-platform, in grado di funzionare su Mac e Linux così come sull’OS Windows, – avverte Lawrence Abrams di BleepingComputer.– Questo significa che, apportando modifiche di lieve entità, gli sviluppatori di Ransom32 possono creare agevolmente appositi pacchetti NW.js destinati ai computer Linux e Mac. Non vi sono, per il momento, segnali di una simile trasformazione, anche se quest’ultima potrebbe essere eseguita senza grandi difficoltà. È in pratica inevitabile la comparsa di programmi ransomware appositamente creati per colpire sistemi operativi diversi dall’OS Windows. E l’utilizzo di una piattaforma quale NW.js non fa altro che accelerare tale processo”.

Fonte: Threatpost

Un Ransomware JavaScript “as-a-Service”

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox