Menu
Home  /  Malware  /  Locky: l’analisi del processo di infezione

Locky: l’analisi del processo di infezione

Negli ultimi mesi, c’è stato un aumento significativo del numero di reti e utenti interessati dal ransomware noto come Locky, che viene utilizzato per crittografare i file di una vittima e poi chiedere un riscatto da pagare in bitcoin. Ma come riesce questa minaccia a infiltrarsi nei sistemi informatici e a bloccare i dati?

Grazie a un’analisi dei laboratori di ricerca ESET, siamo in grado di spiegare i passaggi e i metodi utilizzati dai criminali informatici per eludere i vari livelli di sicurezza.

Lo schema seguente mostra il processo di infezione di Locky. Inizialmente, l’utente riceve una  e-mail su diversi argomenti e in varie lingue. Questa email contiene in allegato un documento di Microsoft Office (che potrebbe essere .DOC, .XLS .DOCM o). Quando viene avviato, il documento genera un file BAT, che a sua volta crea un altro file in codice VBScript. Completata questa fase i due file scaricheranno la minaccia principale, rilevata dalle soluzioni ESET come Win32/Filecoder.Locky.

2Di seguito forniremo una spiegazione passo-passo su ciascuno dei componenti di cui sopra e il modo in cui svolgono le loro azioni dannose per raggiungere il proprio obiettivo. Infine, vedremo come un sistema di rilevamento proattivo sia in grado di proteggere gli utenti.

1. Documenti con macro pericolose

I falsi documenti contengono macro malevole, che vengono eseguite quan

do l’utente fa clic sul pulsante “Abilita contenuti“. Una volta che le macro sono state abilitate, il codice viene eseguito automaticamente così da iniziare l’infezione, come si vede nella figura seguente:

3

Siamo stati in grado di eseguire  un’analisi approfondita  che ci ha consentito di analizzare il comportamento delle macro prima che procedano con l’infezione. Nel codice abbiamo notato tre linee specifiche utilizzate per creare un particolare file BAT chiamato ” Ugfdxafff.bat “. Ora notiamo come la funzione ” Write“, scriverà del codice cifrato Base64 all’interno di questo file, e, infine, la funzione “Shell” eseguirà il file BAT, come si può vedere nella seguente immagine:  4

2. Script VBS e BAT

Lo scopo del file “ugfdxafff.bat” è quello di creare un file VBScript, che lo affiancherà nel processo di infezione includendo un indirizzo URL per scaricarne la payload  – nel caso preso in esame il file è ” asddddd.exe “.
Infine, il file BAT eseguirà il comando “start asddddd.exe ” e cancellerà il VBS, così da eliminare qualsiasi traccia dell’infezione dal sistema. Nella seguente immagine viene mostrata la sequenza di queste azioni:

5

3. Rilevazione proattiva

Uno dei punti più importanti da ricordare quando si analizza il comportamento di un malware come Locky è capire che questi passaggi intermedi potrebbero essere bloccati prima che il file allegato raggiunga la casella di posta o prima che vengano abilitate le macro, semplicemente utilizzando una soluzione di sicurezza proattiva e sensibilizzando gli utenti sui comportamenti corretti de seguire quando si ricevono determinati messaggi.

L’apertura di email di spam da parte degli utenti o dei dipendenti di una società è una delle principali cause di infezione per questo tipo di minaccia, che ha lo scopo di bloccare i dati dell’azienda e creare un enorme problema per gli utenti finali.

Conclusione

E ‘importante prendere in considerazione i rischi connessi all’utilizzo delle macro in un documento di Microsoft Office, in quanto si potrebbero compromettere dati, file personali e di lavoro, o addirittura bloccare un’intera rete aziendale.

Questo è il motivo per cui è fondamentale che tutti gli utenti siano adeguatamente istruiti sugli attuali rischi legati alle attività del cybercrimine e sugli effetti di minacce come i ransomware. Dovranno apprendere i comportamenti da seguire in materia di sicurezza informatica . L’aspetto più importante, naturalmente, è quello di utilizzare un programma antivirus costantemente aggiornato e configurato correttamente per impedire a questo tipo di codice maligno di nuocere ai sistemi. Oltre a questo articolo sarà possibile utilizzare i consigli riportati nel nostro blog per difendersi al meglio dai ransomware.

Dati analizzati

Win32 / Filecoder.Locky.A
Md5: dba9a404a71358896100f9a294f7c9a3
VBA / TrojanDownloader.Agent.AUD
Md5: c7d3afbe92d91cd309cce2d61d18f268
BAT / TrojanDownloader.Agent.NHW
Md5: 30f0378659496d15243bc1eb9ba519ef
VBS / TrojanDownloader.Agent.NZN
Md5: 048820a62c0cef4ec6915f47d4302005

Articoli Simili

Lascia un commento

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007