Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

HorseDeal, il ransomware che usa certificati falsificati per non farsi individuare dagli antivirus
- GIOVEDÌ 6 FEBBRAIO 2020


E' sorprendente vedere come i cyber attaccanti riescano velocemente a impiegare nuove vulnerabilità nelle campagne di diffusione malware. Microsoft ha recentemente patchato una vulnerabilità molto particolare nel Patch Tuesday di Gennaio. E' una vulnerabilità di spoofing nel meccanismo di convalida CryptoAPI (Crypt32.dll) per i certificati di crittografia a curva ellittica (ECC). Un attaccante potrebbe sfruttare questa vulnerabilità usando un certificato falsificato come firma per un eseguibile dannoso, facendolo apparire come proveniente da una fonte affidabile e legittima.  La vittima non avrebbe alcuna possibilità, in questo caso, di sapere che l'eseguibile è dannoso. 

Dato che la quasi totalità degli utenti e moltissimi vendor di servizi di sicurezza fanno molto affidamento sui certificati digitali dei file eseguibili per stabilirne la genuinità e autenticare quindi i file, questa vulnerabilità rappresenta una grave minaccia. Tale vulnerabilità è stata chiamata "Curveball". 

Il ransomware HorseDeal cavalca la CurveBall
Abbiamo per l'appunto individuato un ransomware molto particolare, chiamato HorseDeal, che sfrutta proprio questa vulnerabilità: usa cioè un certificato ECC falsificato per evitare l'individuazione. E' firmato con un falso Microsoft ECC TS Root Certificate Authority 2018 ed ha il nome di un vendor Anti Virus legittimo. Il certificato ha validità di un anno ed è stato attivato in data 16 Gennaio 2020. 

Il nome file usato è quello del processo relativo al Vendor di soluzioni antivirus, ovvero avgdiagex.exe. E' da notare come in questo caso gli attaccanti utilizzino un certificato contraffatto per un falso processo antivirus, ma potrebbero falsificare il certificato di qualsiasi altro software originale, inclusi software pubblicati dalla stessa Microsoft. Nella foto sotto il certificato falsificato:


Comportamento del ransomware
Il vettore di infezione per questo ransomware ad ora non è conosciuto. Il payload principale è impacchettato con il packer UPX-3.94. Una volta eseguito, verifica prima di tutto l'identificatore della lingua in uso sulla macchina, quindi la compara con una lista di ID per individuare la nazione in cui si trova la vittima. Questa lista ID include: kazako (0x043F), Bielorusso (0x0423),  kirghiso(0x0440), tataro (0x0444), Azero (0x082C), armeno (0x042B) e  tagiko (0x0428). 

Una volta confermata che la lingua impostata sulla macchina della vittima non sia una di queste, il malware cancella le Shadow Volume Copies per impedire il ripristino dei file. Usando quindi il comando bcedit, il payload disabilita la funzione di ripristino automatico e modifica e imposta i criteri di boot così da ignorare eventuali errori in caso di fallimento del processo di avvio del sistema. Nella foto sotto l'arresto delle funzionalità di Ripristino e Protezione


A questo punto il payload esegue una serie di verifiche in cerca di processi in esecuzione sulla macchina bersaglio. I nomi dei processi, che sono verificati usando  CreateToolhelp32Snapshot, vengono comparati con una lista di processi contenuta nei payload stesso: se qualche processo combacia, si suppone debba essere terminato. Ma l'attaccante ha commesso un errore, usando 0x20 per separare le stringhe nei buffer anziché 0x00 necessario per terminare la stringa. Pertanto, ogni volta che un processo viene confrontato con la lista, il risultato è sempre negativo anche se il nome del processo dovesse trovarsi nella lista del malware. Tra i processi che dovrebbero essere terminati troviamo 


Il payload adesso genera localmente il paio di chiavi RSA usando la crypto-API CryptGenKey(). La chiave RSA che il payload ha con sé viene usata a sua volta per criptare la chiave privata generata in locale. 

La nota di riscatto si chiama #Decryption#.txt. Viene anche salvata una immagine 7F58.tmp.jpg nella cartella %AppData%\Local\Temp. Verrà usata come sfondo del desktop così da assicurarsi che la vittima abbia accesso alla nota di riscatto. Nella nota non si fa riferimento all'ammontare del riscatto. 


La criptazione dei file
Per ogni drive viene creato un thread separato per la criptazione. I file sono criptati usando l'algoritmo Salsa. La chiave Salsa è differente per ogni file criptato. 

Misure precauzionali
  • Aggiorna ed installa regolarmente le patch per il sistema operativo e per i software in uso.
  • Non scaricare allegati ricevuti da fonti non verificate o sospette.
  • Esegui regolarmente il backup dei tuoi dati importanti.
  • Installa una soluzione antivirus affidabile e solida e mantienila costantemente aggiornata. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 21 SETTEMBRE 2020
Le truffe bancarie passano (anche) dai social
I social sono il paradiso dei truffatori. Ci sono milioni di possibili bersagli (il solo Facebook  ha registrato circa 2.6 miliardi di utenti attivi mensilmente nel ...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482
Telefono: 055430352

© 2020 nwk - Privacy Policy - Cookie Policy - Login