Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

GandCrab 5.1 segue la strada di Emotet!
- VENERDÌ 15 FEBBRAIO 2019


Il trojan bancario Emotet è conosciuto, tra le altre cose, perché cambia costantemente il proprio payload e i vettori di infezione,  sfruttando le email di spam, i DOC dannosi e perfino dei file JS dannosi. Ha compromesso, inoltre, un numero altissimo di siti web. E' in diffusione, con campagne a cadenza quasi mensile, fin dal 2014. Tra una campagna e l'altra, si intervallano spesso  differenti tecniche di diffusione e varianti del malware.  

La maggior parte dei siti web sono legittimi, ma in qualche modo sono poi portati a ospitare e diffondere Emotet. Questa volta però, alcuni di questi stessi siti web stanno diffondendo il ransomware GandCrab v.5.1. Il payload del ransomware viene scaricato sul computer della vittima sfruttando come vettore un documento dannoso contenente una macro VBA.  Lo script Powershell contenuto nella macro si connette al sito web compromesso e scarica il ransomware GandCrab sulla macchina infetta. Nell'analisi dei Quick Heal Security Labs questi stessi siti sfruttati per il download del payload di Emotet e GandCrab, sono stati osservati mentre diffondevano anche altri tipi di malware. 

Vettore di infezione


Analisi tecnica
Il file .doc di Microsoft Office che abbiamo analizzato è rinominato "Urgent notice.doc". Anche il testo che contiene è lo stesso. 


Una volta aperto il file, compare immediatamente la richiesta di abilitare la macro per eseguire un download. 

La Macro
La macro dannosa si compone di 3 moduli e un form. Il form, rinominato "f", contiene dati PowerShell offuscati e 3 moduli con nomi random del tipo cBbOFw, BJXTRQZOY, lC0gFL58m: questi moduli contengono il codice necessario per deoffuscare lo script Powershell. 


Il form


Per deoffuscarne il contenuto è sufficiente sostituire "5820.5840869546" con "null". Eccone il risultato, la macro deoffuscata


Il risultato è preceduto da tre lettere "P", "o" e "w", quindi viene formata la parola PowerShell: a questo punto il codice è completo e viene usato dalla funzione love(), eseguita per scaricare e avviare il payload. 


Il payload, chiamato "putty.exe", altro non è che l'eseguibile del ransomware GandCrab v.5.1: viene scaricato nella cartella C:\Windows\Temp ed eseguito.

Il payload di GandCrab
Una volta eseguito, il payload cripta i file bersaglio presenti sul sistema e mostra lo sfondo desktop tipico di GandCrab. La nota di riscatto esplicita la versione del ransomware, la 5.1 appunto. GandCrab ricerca sulla macchina infetta anche i processi relativi agli antivirus, tentando di terminarli assieme ad altri processi in esecuzione, sopratutto quelli collegati a database SQL: tenta così di assicurarsi la criptazione dei file più importanti.  Per la criptazione, questa versione di GandCrab usa l'algoritmo Salsa20, quindi cripta la chiave di criptazione Salsa20 con l'algoritmo di criptazione RSA-2048, che aggiunge quindi al file dopo i dati. Non sarà possibile decriptare i file senza la chiave privata.  

Abbiamo notato, inoltre, che il ransomware raccoglie tutti i dati relativi all'utente, come username, nome del computer, gruppo di lavoro, indirizzo IP: queste informazioni vengono criptate con l'algoritmo di criptazione RC4, quindi inviate al server di comando e controllo degli attaccanti. 

La criptazione è possibile perché GandCrab ottiene i privilegi di amministrazione usando la vulnerabilità ALPC CVE-2018–8440 dell'utilità di pianificazione (Task Scheduler). 

La nota di riscatto
La nota di riscatto richiede circa 700 dollari in criptovaluta Dash o Bitcoin: un 10% aggiuntivo viene richiesto per le commissioni del miner. 


La pagina di riscatto


Alla conclusione del processo di criptazione, GandCrab tena la connessione ad un certo numero di domini compromessi, comportamento molto simile a quello delle campagne di Emotet. Poche ore dopo la conclusione della nostra analisi, gli stessi domini hanno iniziato a diffondere contenuti di phishing a sfondo pornografico. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

MARTEDÌ 23 LUGLIO 2019
Hacking della Webcam: come impedire la violazione della tua privacy?
Immagina, un giorno, di aprire la posta in arriva e trovare una email che contiene tue immagini private o intime. Sotto le immagini, lampeggia una richiesta di riscatto "...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login