Ancora nel pomeriggio di mercoledì scorso, un sito web del governo statunitense ospitava, suo malgrado, un downloader nocivo, compilato in JavaScript, preposto a generare, sui computer-vittima, l’installazione del famigerato ransomware Cerber.
In quello stesso giorno, il ricercatore Ankit Anubhav, all’opera presso NewSky Security, twittava proprio riguardo a tale scoperta; così, nel giro di poche ore, il link destinato a condurre le potenziali vittime verso il temibile malware, veniva rimosso. Non è purtroppo noto se qualcuno sia stato infettato o meno attraverso il sito web in questione.
#Javascript #malware using #powershell hosted on US Government site. Link is still live! cc @USCERT_gov
IOC :: https://t.co/Thoyom3PTF pic.twitter.com/OjX9M7OzDU— Ankit Anubhav (@ankit_anubhav) August 30, 2017
Allo stesso modo, non si conoscono ancora le modalità malevole attraverso le quali il downloader sopra menzionato è stato collocato all’interno del sito .gov. Ankit Anubhav ha ipotizzato che il sito in causa possa essere stato hackerato, o che, forse, tale risorsa web custodisca gli allegati ricevuti tramite e-mail dai funzionari governativi; il downloader dannoso, pertanto, potrebbe essere stato “archiviato” proprio in tal modo.
Di fatto, i ricercatori hanno evidenziato varie analogie con la campagna di spam denominata Blank Slate, tramite la quale, alcuni mesi fa, era stato distribuito Cerber. Le e-mail nocive inviate nell’ambito di questa campagna malware contenevano soltanto un file archivio .zip doppio; nella circostanza, il secondo file compresso celava un file JavaScript malevolo, oppure un documento Microsoft Word dannoso. Le e-mail in questione non presentavano nemmeno una riga di testo; gli esperti avevano ritenuto, allora, che la combinazione di tutti gli elementi qui sopra descritti fosse stata messa in atto, dai malintenzionati, allo scopo di eludere il possibile rilevamento da parte delle soluzioni di sicurezza IT.
Al momento della pubblicazione del presente articolo, nonostante siano state effettuate varie richieste, il DHS (Department of Homeland Security, Dipartimento della Sicurezza Interna degli Stati Uniti) non ha ancora rilasciato alcun commento in merito alla vicenda qui descritta.
Anubhav ha riferito che, in pratica, il sito governativo ospitava un archivio .zip, il quale conteneva un JavaScript comprendente, a sua volta, uno script PowerShell offuscato. Per l’esattezza, lo script PowerShell provvede a scaricare un file .gif che, in realtà, è un eseguibile del ransomware Cerber.
Cerber è ormai in circolazione da più di un anno e, come la maggior parte delle famiglie di crypto-ransomware, è stato diffuso tramite exploit kit, apposite campagne di spam, e la stessa botnet utilizzata dai cybercriminali per distribuire il noto malware finanziario Dridex. Alcuni mesi fa, gli attacker sfruttavano una vulnerabilità critica in Apache Struts, rilevata a livello di server Windows, e in tal modo recapitavano il ransomware Cerber sui computer presi di mira.
Ankit Anubhav e Mariano Palomo Villafranca, analista di malware presso Telefonica, nota compagnia di telecomunicazioni spagnola, hanno pubblicato, lo scorso 1° settembre, una dettagliata analisi dell’attacco. Essi hanno sottolineato, a tal proposito, come la maggior parte dei siti web che fanno capo alle entità governative statunitensi siano di fatto presenti nelle whitelist stilate dagli appositi servizi di reputazione; una simile circostanza fa sì che tali siti possano essere considerati, dagli attacker che si prefiggono di eludere il rilevamento, degli host ideali per nascondere furtivamente determinati programmi malware.
Anubhav ha precisato, poi, che alla potenziale vittima può essere inviato un link destinato a condurre verso la pagina che “ospita” il file .zip; una volta cliccato su tale file, viene lanciata l’esecuzione dello stesso: viene così estratto il JavaScript offuscato, il quale lancia, a sua volta, un PowerShell adibito al download del malware da un dominio notoriamente sfruttato, per scopi malevoli, dai criminali informatici.
“Questo script PowerShell scarica il malware da un sito malevolo, ben conosciuto, e ne avvia poi l’esecuzione,” ha dichiarato Anubhav. “Tutte le varie fasi dell’attacco, ovviamente, si producono in modalità automatica, per cui l’utente finale non si accorgerà di nulla.”
Nella circostanza, il payload nocivo è rappresentato da Cerber; questo temibile ransomware, prima di procedere alla codifica dei file custoditi nel computer-vittima, controlla la presenza, su quest’ultimo, di determinati pacchetti linguistici relativi ai paesi facenti parte della Comunità degli Stati Indipendenti (CSI), pacchetti eventualmente installati sulla macchina compromessa.
Anubhav e Villafranca hanno scritto, nel loro report, che l’eseguibile gif si è rivelato essere un installer NSIS, il quale provvede ad estrarre la configurazione del file JSON di Cerber. Nello scorso mese di marzo, i ricercatori avevano scoperto che le infezioni generate da Cerber riuscivano a bypassare il possibile rilevamento in quanto il codice dannoso risultava di fatto nascosto all’interno di installer NSIS, prima dell’esecuzione stessa del malware. I ricercatori di Deep Instinct hanno riferito a Threatpost che le versioni 4 e 5.1 di Cerber, così come numerose versioni di Locky, utilizzavano proprio tale tecnica malevola, impiegata, peraltro, anche nell’ambito di varie versioni di Cryptolocker e Cryptowall.
NSIS, acronimo di Nullsoft Scriptable Install System, è un sistema open source utilizzato per sviluppare gli installer di Windows.
Cerber, al pari di molti altri ransomware, richiede alle proprie vittime il pagamento di un riscatto in Bitcoin, per poter ottenere la chiave di decodifica che consente poi agli utenti di recuperare i dati criptati. Ricordiamo, infine, che le prime versioni del malware venivano in sostanza vendute secondo il tipico modello “as-a-service”, in qualità di servizio; altre ancora, invece, sono state “opportunamente” codificate per costringere il computer della vittima a “parlare” all’utente preso di mira, ripetendo più e più volte, a quest’ultimo, che i documenti e i file erano stati cifrati.
Fonte: Threatpost