I ricercatori di virus dannosi hanno scoperto ed informano che un "aggiornamento critico di Windows" porta all'installazione di Cyborg ransomware. Inoltre, sono stati in grado di accedere al suo builder, che può essere utilizzato per creare varianti di malware.
La minaccia basata sulla posta elettronica, scoperta di recente dai ricercatori di Trustwave, è unica per alcuni aspetti, i ricercatori hanno svelato in un post sul blog martedì. Ad esempio, il file allegato si nasconde dietro il formato .jpg, anche se apre un file .exe.
Un altro aspetto unico è che le e-mail contengono un argomento di due frasi, "Installa subito l'ultimo aggiornamento di Microsoft Windows! Critico Microsoft Windows Update! ”- ma ha solo una frase nel suo corpo e-mail, hanno detto i ricercatori. In genere, le e-mail dannose includono un messaggio più lungo e socialmente progettato per attirare le vittime nel fare clic su file dannosi.
Ma forse l'elemento più cruciale dell'analisi è che i creatori di ransomware Cyborg hanno anche lasciato una traccia dell'eseguibile che ha portato i ricercatori a scoprire il generatore di malware ospitato sulla piattaforma di sviluppo di Github.
"Il file 7Zip" Cyborg Builder Ransomware V 1.0.7z "dal repository Cyborg-Builder-Ransomware è stato caricato due giorni prima che l'account Github misterbtc2020 ospitasse l'eseguibile del ransomware Cyborg", secondo il post. "Contiene il costruttore di ransomware" Cyborg Builder Ransomware V 1.0.exe. ""
Ciò aggiunge una nuova dimensione all'attacco, Karl Sigler, responsabile dell'intelligence sulle minacce di Trustwave SpiderLabs, ha dichiarato a Threatpost in un'intervista via e-mail.
"Il ransomware è stato ampiamente utilizzato per attaccare diverse organizzazioni e governi e avere questo e il suo costruttore ospitati su una piattaforma di sviluppo software Github è significativo", ci ha detto. "Chiunque può afferrarlo e creare il proprio eseguibile ransomware Cyborg."
La falsa e-mail di Windows Update ha i tratti distintivi tipici dello spam dannoso, ed è così che i ricercatori l'hanno identificato originariamente, Sigler ha detto a Threatpost. La linea tematica sospetta combinata con "un allegato eseguibile, non racchiuso in un archivio e con estensione .jpg", ha reso evidente il suo intento, ha affermato.
"Diffondere l'estensione di un file eseguibile è un trucco comune per sfuggire ai gateway di posta elettronica", ha dichiarato Sigler a Threatpost. "L'abbiamo già visto prima, e quindi sono in atto rilevamenti euristici per questo tipo di comportamento."
I ricercatori hanno informato Github intorno alle 17:00 di domenica 17 novembre, che esiste un account che ospita il ransomware Cyborg e il suo costruttore sulla sua piattaforma, ha affermato Sigler. Quel rapporto è "ancora in fase di elaborazione", ci ha detto, e l'account che ospita il malware era ancora attivo dal momento in cui questo articolo è stato scritto.
Al momento, la minaccia di spam del Cyborg sembrava essersi attenuata, poiché i ricercatori non vedono più prove del downloader inviato tramite e-mail. Tuttavia, rimane il potenziale per le varianti che devono essere create dal builder Cyborg, poiché è ancora disponibile su Github, ha affermato Sigler, sottolineando che "una manciata di ransomware Cyborg" è già stata inviata a VirustTotal.
"Il Cyborg Ransomware può essere creato e diffuso da chiunque si impadronisca del costruttore", secondo il post. "Può essere spammato usando altri temi ed essere allegato in diverse forme per eludere i gateway di posta elettronica."
Il ransomware nel suo complesso è persistente e in crescita, con cattivi attori che trovano modi nuovi e creativi per attirare e attaccare le vittime. La ricerca pubblicata il mese scorso ha affermato che gli esperti di sicurezza prevedono che i ransomware aumenteranno nel 2020, in particolare le campagne mirate specificamente alle loro vittime.
Mentre l'attacco del Cyborg sembrava non avere alcun obiettivo apparente, Sigler ha detto, ci sono state prove recenti che questa previsione si sta già avverando. La scorsa settimana, SmarterASP.NET, un noto provider di web hosting, è stato colpito da un attacco ransomware mirato che ha distrutto i siti Web dei suoi clienti ospitati dalla società.
Programmatore informatico italiano, mi occupo di sviluppo sia Front-end che Back-end presso una grande azienda. La programmazione è stata la mia passione, insieme allo sport e al teatro che pratico tutt'ora. Ho deciso di aprire questo blog per dare consigli e condividerli con chi, come me, porta con sé questa passione. [..]
