Un nuovo CryptoLocker unisce Locky e il trojan Kovter

Ecco un altro esempio di come utilizzare in modo diverso qualcosa già visto e che avevamo imparato a riconoscere. Stesso codice, stessi virus, solo un metodo nuovo di proporteli per riuscire ad ingannarti ancora.

Il mezzo utilizzato è sempre la posta elettronica e sfrutta ancora il metodo del Phishing, noto per la sua efficacia e difficoltà di rilevamento da parte degli antispam.

In apparenza il messaggio arriva da USPS (United States Postal Service) e informa la vittima che il pacco non può essere consegnato, infatti l’oggetto è questo: “USPS courier can not deliver parcel #42746295669 to you”.

E il testo è questo del messaggio:

“Dear Customer,

This is to confirm that your item has been shipped at January 24.

Please review delivery label in attachment!

Kind regards,

Leslie Riggs,

USPS Support Clerk.”

 In Italia questo servizio è molto utilizzato per le consegne di merce acquistata online negli Stati Uniti specialmente per le operazioni effettuate tramite eBay e oltre a questo potrebbe essere scambiato per UPS, anch’esso famoso corriere espresso molto attivo anche da noi.

Questa è la componente che ha lo scopo di ottenere la fiducia del destinatario della mail in modo tale che compia l’azione necessaria per avviare l’infezione. Questo passaggio è il cuore del tentativo di Phishing, che ancora una volta utilizza il concetto di social engineering per mettere in piedi il solito teatrino, caratterizzato dal fatto di essere attinente con un aspetto della vita professionale o privata della vittima.

E con questo si punta ad ingannare l’utente.

A questo punto facciamo però un passo indietro, perché quella mail deve poter arrivare a destinazione ed è proprio qui l’aspetto interessante di questo nuovo modello.

Per ciò che ad oggi conosciamo, il file di cifratura ovvero il malware può essere agganciato ad una mail Phishing in 4 modi:

• Tramite un allegato eseguibile infetto, che consiste nel ransomware e se lanciato cripta i files.
• Tramite un allegato dropper, un eseguibile che scarica il ransomware da una pagina Web maligna, lo lancia e questo cripta i files.
• Tramite un allegato in formato office o pdf contenente una macro che scarica il ransomware da una pagina Web maligna, lo lancia e questo cripta i files.
• Tramite un link ad una pagina Web, nel testo della mail, che se cliccato scarica e ed esegue il ransomware che, pensate, cripta i files.

Oggi gli antispam più evoluti cosa fanno per scongiurare tutto questo?

Quale controllo applicano per fare in modo che una mail con una di queste caratteristiche non arrivi nemmeno sulla casella del destinatario?

• Applicano filtri sul formato dei file in allegato, se rientra nella sfera degli eseguibili quella mail non passa, o passa senza l’allegato.
• Applicano il controllo antimalware su tutti i file in allegato, se viene riconosciuto come tale non passa.
• Controllano la presenza di macro in allegati Office e pdf, se le trovano questi file non passano.
• Verificano la reputazione e la presenza di codice sospetto all’ interno delle pagine Web linkate nel corpo della mail. Se un link punta ad una pagina maligna e l’utente clicca, la navigazione non è permessa.

Questo è superlativo perché questi 4 controlli uniti insieme possono bloccare ogni combinazione possibile.

Allora come la mettiamo con questa nuova variante di Cryptolocker?

In questo caso riceviamo un mail con un allegato .zip, nel quale troviamo un ulteriore .zip, che a sua volta contiene un .lnk (Delivery-Receipt-42746295669.doc.lnk) , ovvero un “banale” collegamento Windows che nasce per puntare ad altri file ed eseguirli se cliccato.

L’aspetto interessante non è la presenza degli archivi compressi annidati, perché anche questa caratteristica non fa paura agli antispam, infatti possono andare a verificare in profondità quali file sono nascosti in fondo anche fino a molti livelli di annidamento.

Il problema è che il un file .lnk non fa parte della schiera di quelli definiti fino ad oggi pericolosi (eseguibili, office, pdf) quindi non abbiamo controlli attivi e sensibilità utente verso questo tipo di formato.

In realtà questo file è uno script PowerShell che genera l’indirizzo Web partendo dai domini gifizsee.de, jbsounddesign.de, diyday.be, givtao.com, enfantsdusoleil.org, e lo completa con ulteriori parametri generati in real-time, se cliccato scarica Locky e il resto lo sappiamo.

Visto che a ragion di logica non c’è motivo per cui allegare un file .lnk ad una mail, possiamo tranquillamente bloccare questo formato a livello di antispam oppure anche di mail server e il problema è risolto.

L’altra particolarità di questo attacco è che in alternativa, randomicamente, invece di Locky viene scaricato Kovter, che in apparenza non esegue nessuna azione ma in realtà attua una navigazione Web nascosta all’utente. Questa è indirizzata verso siti contenenti pubblicità a pagamento e in automatico il virus clicca sugli annunci, facendo guadagnare i gestori di queste pubblicità con il metodo del pay-per-click.

Kovter è difficile da rilevare per un antivirus perché è un malware fileless e si installa direttamente nel registro di Windows e non essendo visibile rimane facilmente all’opera sul PC dell’utente per molto tempo.

Quindi tutto questo per dire: d’ora in avanti facciamo attenzione anche agli allegati .lnk !!!

Sappiamo che formazione e informazione agli utenti aiuta molto ma sappiamo anche che fretta, disattenzione ed errore umano sono dietro l’angolo, per cui ciò che possiamo fare facilmente con i sistemi automatici facciamolo.

A questo scopo ti consiglio questa guida, nella quale ti spieghiamo nel dettaglio tutte le caratteristiche che oggi assolutamente non devono mancare ad un antispam, ti sarà sicuramente molto utile nella scelta del prodotto più adatto.