JScript-toting ransomware puede robar sus contraseñas y su cartera de Bitcoin

Por Renaud Bidou

En un esfuerzo por aumentar el número de víctimas, los autores de ransomware tratan de moverse lejos de las familias conocidas y crear una nueva con diferentes grados de funcionalidad.
Este es el caso con el ransomware RAA, que Trend Micro detecta como RANSOM_JSRAA.A. Mientras que la mayoría de ransomware toma la forma de archivos ejecutables (.exe, .dll), RAA es uno de los pocos escrito completamente en un lenguaje de script-expresamente diseñado para ser interpretado por los navegadores web.
1

Nuestro análisis muestra que esta variante particular, ransomware está escrito en JScript, y no en JavaScript, según lo observado en algunos informes. (Tampoco está relacionado con Java o bien, este artículo de conocimiento de Microsoft hace que las diferencias de los tres claras.) Este lenguaje de script está diseñado para sistemas Windows y ejecutado por el motor de Windows Scripting Host a través de Microsoft Internet Explorer (IE). No se puede ejecutar a través del navegador Edge más reciente, sin embargo.

Tal vez, los cibercriminales están aprovechando el lenguaje de scripts de JScript para agregar otra capa de dificultad en la detección ya que esto puede hacer que el polimorfismo y la ofuscación sea más fácil.

2

1. Nota de rescate de RAA escrita en ruso con instrucciones sobre cómo transferir 0,39 Bitcoin (o US $ 250) con el fin de obtener la clave y el software necesarios para descifrar los archivos afectados.

 

JScript tiene semejanzas con el lenguaje Java porque ambos se derivan de ECMAScript. Más o menos, estos lenguajes de scripting son «compatibles». En pocas palabras, JScript es la implementación de ECMAScript MS, mientras que JavaScript es la implementación de Mozilla ECMAScript. Una de sus diferencias notables es la capacidad de JScript para acceder a los objetos expuestos por el IE (objetos ActiveX), y objetos de algún sistema, tales como el «WScriptl.»

3

2. La línea 6 se refiere a WScriptl, que está específicamente relacionado con JScript.

 

¿Por qué JScript?

El uso de lenguaje de script en ransomware no es nuevo. Cryptowall descargador de 4.0 fue escrito en JScript; PowerWare tenía PowerShell lenguaje de scripting basado en tareas. Ransom32 fue escrito totalmente en JavaScript, pero su paquete contenía la binarias de un cliente Tor habituales, así como los binarios y los módulos de Node.js que se utiliza para ejecutar el script.
Dado que la mayoría del malware está escritos en lenguajes de programación compilados-ransomware con frecuencia adopta la forma de ejecutables-utilizando un lenguaje poco común usado para entregar el malware pueden ser vistos como menos propensos a la detección. Los cibercriminales saben que es una carrera; se capitalizan en el lapso de tiempo en el que sus programas maliciosos no se detecta con el fin de maximizar su beneficio.

Aparte de ser más fácil de escribir, estas lenguas son también altamente portátiles: máquinas con sistema operativo de Windows modernos pueden funcionar sin ningún cambio requerido en el código. De Windows Scripting Host ejecuta JScript, por ejemplo, ha estado disponible desde Windows XP.

Profundizando a través del código RAA

RAA no puede realizar fácilmente en cualquier navegador, aparte de IE a través de vectores de ataque como este tipo de ataque. Aún requiere la ejecución de Windows Script Host. La ejecución del objeto ActiveX debe ser autorizada también en el navegador Internet Explorer. «WScriptl,» que se utiliza en varias partes del RAA, parece ser el elemento diferenciador. A modo de ejemplo, la línea de abajo desencadenará un error en Chrome:

4

  1. Un mensaje de error cuando se abre esta amenaza a través del navegador Chrome

Por otra parte, este malware aún puede ser ejecutado por simple clic en el script mismo, a través de los datos adjuntos en mensajes de correo electrónico de spam, a través de un objeto dentro de un documento de Office, o incluso a través de línea de comandos. Sus nombres de archivo pueden ser cualquiera de los siguientes: • st.js • ST.js • mgJaXnwanxlS_doc_.js • _mgJaXnwanxlS_doc_.js
En base a los hallazgos, RAA emplea CryptoJS para su proceso de cifrado. Es una biblioteca de código abierto de algoritmos criptográficos implementados en JavaScript, soporte AES-128, AES-192 y AES-256:
var clear_tpcVJWrQG = CryptoJS.enc.Base64.parse (tpcVJWrQG);
Los datos cifrados se anexan con una extensión .locked a sus nombres de archivo. Hasta la fecha, RAA cifra los 16 tipos de archivos. Se omite la encriptación de datos con nombres de archivo como «.locked», «~», y «$». Por otra parte, no cifra los archivos que se encuentran en los siguientes directorios:

  • Archivos de programa (incluyendo x86) • Windows • Papelera de reciclaje • Reciclador • Datos de aplicación • Temperatura • Programar información • Microsoft

El uso de la codificación base64, RAA también cae y se extrae de robo de datos FAREIT (también conocido como Pony malware). Es un malware de robo de datos conocido que hurta credenciales almacenadas de Protocolo de Transferencia de Archivos (FTP) a clientes y otros software de gestión de archivos, clientes de correo electrónico como Outlook, navegadores web e incluso carteras de bitcoin, y los envía a su servidor de comando y control (C & C ). También borra el registro siguiente en relación con el Servicio de instantánea de volumen:
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ VSS
Como por ejemplo, la copia de seguridad y restaurar las operaciones están desactivadas mientras que las aplicaciones de los sistemas siguen escribiendo en los volúmenes. Esto, por supuesto, añade otra capa de prevalencia de esta amenaza.
Con reminiscencias de DMA Locker 4.0 (detectado como RANSOM_MADLOCKER.B) y ciertas variantes de ROMPECABEZAS cripto-ransomware, RAA ofrece desbloquear un par de archivos de forma gratuita, presumiblemente para hacer realidad la promesa de descifrar los archivos aparecen más legítimo. Incluso tiene un soporte dedicado «cliente» a través de bitmessage, un protocolo de comunicaciones P2P descentralizado utilizado para enviar mensajes cifrados.

Soluciones de Trend Micro Los ciberdelincuentes siguen para elaborar tácticas inteligentes para infectar el mayor número de sistemas con ransomware como sea posible. En este caso, se aprovechan de un lenguaje de script para evitar la detección y, en consecuencia, la eliminación del sistema.
Copia de seguridad de archivos utilizando la regla 3-2-1 es una manera de mitigar los riesgos de amenazas tales como ransomware RAA. Las organizaciones y los usuarios necesitan una defensa de múltiples capas contra este tipo de amenazas.
Trend Micro ofrece diferentes soluciones para proteger a las empresas, pequeñas empresas y usuarios domésticos para ayudar a minimizar el riesgo de ser afectados por esta amenaza.
Las empresas pueden beneficiarse de una de varias capas, del enfoque paso a paso con el fin de mitigar mejor los riesgos presentados por estas amenazas. Las oEmail Inspector y el gateway web como Trend Micro ™ Deep Discovery ™ Email Inspector y ™ InterScan Web Security  impiden que el  ransomware nunca llegue a los usuarios finales. A nivel de puesto de trabajo, Trend Micro Smart Protection Suites entregar varias capacidades como la monitorización de comportamiento y control de aplicaciones, y la protección de vulnerabilidades que reducen al mínimo el impacto de esta amenaza. Trend Micro profundo descubrimiento inspector detecta y bloquea ransomware en las redes, mientras que Trend Micro Deep Security ™ detiene ransomware llegue a la empresa servidores ya sean físicos, virtuales o en la nube.
Para las pequeñas empresas, Trend Micro Worry-Free Advanced Services ofrece seguridad en el gateway de correo electrónico basado en la nube a través de Hosted Email Security. Su protección de endpoints además ofrece diversas posibilidades como la supervisión comportamiento y la reputación Web en tiempo real con el fin de detectar y bloquear ransomware.
Para los usuarios domésticos, Trend Micro Security 10 proporciona una protección robusta contra ransomware, mediante el bloqueo de sitios web maliciosos, correos electrónicos y archivos asociados a esta amenaza.
Los usuarios también pueden utilizar nuestras herramientas gratuitas tales como Trend Micro Lock Screen Ransomware, que está diseñado para detectar y eliminar ransomware pantalla-vestuario; así como del archivo de Trend Micro Crypto-ransomware File Decryptor Tool, que puede descifrar ciertas variantes de cripto-ransomware sin pagar por el uso de la clave de descifrado.
hashes relacionados con este ataque:

  • 2C0B5637701C83B7B2AEABDF3120A89DB1DBAAD7- detectado como RANSOM_JSRAA.A • 822BF6D0EB04DF65C072B51100C5C852761E7C9E – detectada como TSPY_FAREIT.YYSVN

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.