Un Ransomware JavaScript “as-a-Service”

Il modello Malware-as-a-Service (malware come servizio) non rappresenta di certo una novità. Da vari anni, ormai, i cybercriminali reclamizzano costantemente, nell’underground della Rete, non solo gli stessi strumenti nocivi, ma anche i servizi relativi alla gestione e al supporto tecnico per Trojan bancari, kit di exploit, etc.

Nei primi giorni del nuovo anno, alcuni ricercatori hanno pubblicato i risultati dell’analisi condotta su un nuovo servizio RaaS (ransomware-as-a-service, ransomware come servizio), incentrato sulla diffusione del primo cryptoblocker creato esclusivamente mediante l’utilizzo della tecnologia JavaScript. Il download di Ransom32 può essere effettuato attraverso un server web nascosto nei meandri della rete Tor. Chiunque può scaricare tale ransomware: occorre semplicemente indicare un indirizzo Bitcoin, da utilizzare per ricevere, in seguito, gli introiti ottenuti grazie alle estorsioni praticate.

Il programma malware in questione è stato creato attraverso l’utilizzo della piattaforma NW.js, del tutto legittima; esso è in grado di ricercare e codificare decine di tipologie diverse di file, per poi esigere il pagamento di un riscatto in criptovaluta. Gli autori di Ransom32 percepiscono una commissione pari al 25% su ogni transazione effettuata.

Per coloro che “usufruiscono” del servizio RaaS viene ugualmente messa a disposizione un’interfaccia di amministrazione, la quale consente ai cybercriminali di personalizzare i messaggi che saranno visualizzati dalle vittime dell’infezione, definire l’importo del riscatto, bloccare lo schermo del computer infetto, ridurre il carico sulla CPU durante l’esecuzione del processo di cifratura dei file e impostare il timeout di attesa. L’interfaccia può essere utilizzata anche per monitorare e raccogliere vari dati statistici: tenere traccia del numero complessivo di installazioni malevole effettuate, del numero totale delle vittime che hanno provveduto a pagare il riscatto richiesto, e dell’importo in Bitcoin relativo ai profitti realizzati.

Le prime notizie riguardo a Ransom32 sono apparse sui forum di BleepingComputer; in seguito, uno dei sample del malware è stato sottoposto ad analisi da parte degli esperti di Emsisoft. Secondo il ricercatore Fabian Wosar, la dimensione del file scaricato per condurre l’indagine si è rivelata essere indubbiamente considerevole (22 MB), elemento del tutto insolito per un cryptoblocker. È inoltre emerso che il malware era stato realizzato sotto forma di un archivio WinRAR, contenente vari file, tra cui un file eseguibile Chromium, mascherato in maniera tale da sembrare, a tutti gli effetti, il browser Chrome. Si tratta, in realtà, di un’applicazione NW.js, contenente sia il codice dannoso, sia il framework necessario per l’esecuzione dello stesso.

Occorre sottolineare, nella circostanza, che la piattaforma NW.js consente di sviluppare applicazioni JavaScript desktop non solo per il sistema operativo Windows, ma anche per Mac OS X e Linux. “Il codice JavaScript, in genere, viene rigorosamente isolato tramite sandbox, a livello di browser, e non ha, pertanto, alcuna reale possibilità di “entrare in contatto” con il sistema in cui esso viene eseguito, – precisa Fabian Wosar. – NW.js offre decisamente maggiore libertà per quanto riguarda l’interazione con il sistema operativo, consentendo a JavaScript di fare, in pratica, quasi tutto quello che fanno i “normali” linguaggi di programmazione, quali, ad esempio, C++ o Delphi. Per lo sviluppatore si tratta, indiscutibilmente, di un grande vantaggio, in quanto egli è in grado di trasformare, con relativa facilità, la propria applicazione web in una normale applicazione desktop. NW.js si rivela inoltre di particolare utilità anche per coloro che sviluppano le tradizionali applicazioni desktop, in quanto permette di eseguire lo stesso identico JavaScript su varie piattaforme. Risulta in tal modo possibile scrivere un’applicazione NW.js una sola volta, dopodiché quest’ultima potrà essere immediatamente utilizzata su Windows, Linux e Mac OS X”.

Secondo Emsisoft, al momento attuale Ransom32 attacca esclusivamente i sistemi Windows; ad ogni caso, con l’introduzione di alcune modifiche, il ransomware qui esaminato potrebbe trasformarsi in una minaccia di tipo cross-platform.

A livello di comportamento, il nuovo blocker si rivela simile agli altri malware riconducibili a questa specifica categoria di programmi dannosi. Esso viene distribuito assieme ad un apposito client Tor, utilizzato da Ransom32 per connettersi con il server C&C ed il wallet Bitcoin adibito a raccogliere i pagamenti effettuati dalle vittime della cyber-estorsione. Tale connessione viene ugualmente utilizzata per effettuare lo scambio delle chiavi di cifratura.

“Il servizio RaaS denominato Ransom32 si rivela particolarmente pericoloso in quanto JavaScript e HTML sono tecnologie cross-platform, in grado di funzionare su Mac e Linux così come sull’OS Windows, – avverte Lawrence Abrams di BleepingComputer.– Questo significa che, apportando modifiche di lieve entità, gli sviluppatori di Ransom32 possono creare agevolmente appositi pacchetti NW.js destinati ai computer Linux e Mac. Non vi sono, per il momento, segnali di una simile trasformazione, anche se quest’ultima potrebbe essere eseguita senza grandi difficoltà. È in pratica inevitabile la comparsa di programmi ransomware appositamente creati per colpire sistemi operativi diversi dall’OS Windows. E l’utilizzo di una piattaforma quale NW.js non fa altro che accelerare tale processo”.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *