În ultimile luni, a existat o creștere semnificativă a numărului de rețele și utilizatori afectați de ransomware-ul cunoscut drept Locky, care este folosit pentru criptarea fisierelor victimelor și apoi cere o răscumpărare ce trebuie plătită în bitcoin. Dar, cum reușește să se infiltreze în sistemele informatice și să deturneze date? De la laboratorul ESET din America Latină, am încercat să explicăm etapele și metodele folosite de infractorii cibernetici pentru a se sustrage diferitelor straturi de securitate.

Diagrama de mai jos prezintă prezintă procesul de infectare cu Locky, care conduce la o încărcătură. Inițial,  utilizatorul primește un e-mail bazat pe diferite subiecte și construit în limbi distincte. Acest mesaj e-mail va conține un document Microsoft Office în atașament (acesta poate avea extensia .DOC, .DOCM sau .XLS). Acest document creează un fișier de tip BAT, care, la rândul său, elaborează un alt fișier în cod VBScript. Acestea, între ele, vor descărca ulterior principala amenințare, detectată de către soluțiile ESET drept Win32/Filecoder.Locky.

Vom explica, pas cu pas, fiecare din componentele din diagramă și modul în care își îndeplinesc acțiunile rău intenționate pentru a-și atinge scopul. În cele din urmă, com arunca o privire asupra modului în care detectarea proactivă poate ajuta utilizatorii.

1. Documente cu macro-uri malițioase

Documente frauduloase, cu un conținut de macro-uri malițioase, care sunt executate atunci când utilizatorul face click pe butonul pe care scrie "Activare conținut". Odată ce macro-urile au fost activate, codul este executat automat pentru a începe infectarea, așa cum se poate observa în imaginea de mai jos:

Putem efectua o analiză mai în detaliu pentru a vedea macro-urile care creează prima parte a infectării. Printre acestea, putem evidenția trei linii specifivce de cod care creează un fișier de tip BAT numit "Ugfdxafff.bat". Apoi, vedem funcția "Write", care va scrie codul base64 în acest fișier și, în cele din urmă, funcția "Shell" execută fișierul BAT, așa cum putem observa în următoarea captură de ecran:

2. Script-uri BAT și VBS

Scopul fișierului “ugfdxafff.bat” este de a crea un fișier VBScript, care va lucre alături de acesta, incluzând și un URL pentru descărcarea încărcăturii – în acest caz etichetat ca “asddddd.exe”.

În cele din urmă, fișierul BAT va executa un alt fișier BAT existent folosind comanda “start asddddd.exe” și va îl va șterge pe cel VBS, precum acesta s-ar fi șters singur, eliminând orice urmă din sistem. Această secvență de acțiuni poate fi observată în captura de ecran de mai jos:

3. Detectare proactivă

Unul dintre cele mai importante lucruri de reținut atunci când ne confruntăm cu Locky, este să înțelegem că acest set de pași intermediari, unde o soluție de securitate  proactive este combinată cu educație și conștientizare din partea utilizatorilor, va permite ca atacul să fie blocat înainte de a ajunge în inbox sau înainte ca macro-urile să fie activate,

Acceptarea de e-mailuri spam de către utilizatori sau de către angajații unei companii este unul din puntele de intrare pentru acest tip de amenințare, ajungând chiar să deturneze datele companiei și să genereze o mare problemă pentru utilizatori.

Concluzie

Este important să fie luate în considerare riscurile iminente în folosirea de macro-uri într-un document Microsoft Office, având în vedere faptul că pot fi compromise date personale sau legate de muncă, sau chiar o  întreagă rețea dintr-o corporație.

De aceea, este esențial ca toți utilizatorii să devină familiarizați cu tendințele în criminalitatea cibernetică  și efectele amenințărilor precum ransomware. Aceștia trebuie să internalizeze cele mai bune practici în materie de securitate informatică. Principalul factor, de care trebuie ținut cont, este desigur, utilizarea unui program antivirus, configurat în mod adecvat și actualizat pentru a evita ca acest tip de cod malițios să dăuneze sistemului. În plus, puteți consulta și informații despre sfaturi legate de prevenirea ransomware-urilor.

Date Analizate

Win32/Filecoder.Locky.A

Md5: dba9a404a71358896100f9a294f7c9a3

VBA/TrojanDownloader.Agent.AUD

Md5: c7d3afbe92d91cd309cce2d61d18f268

BAT/TrojanDownloader.Agent.NHW

Md5: 30f0378659496d15243bc1eb9ba519ef

VBS/TrojanDownloader.Agent.NZN

Md5: 048820a62c0cef4ec6915f47d4302005

DIEGO PEREZ

CORESPONDENT INDEPENDENT