hotline

Új Locky taktika a sandboxok átveréséhez

Tom Jowitt cikke nyomán a Silicon.co.uk oldaláról

A Locky ransomware csapás olyan hírekkel folytatódik, melyek szerint egy új technikát fejlesztettek bele az észlelésének elkerüléséhez.

Most egy egyszerű, de mégis hatékony felhasználói interakcióra épül: a Locky letöltéséhez és futtatásához szükséges utasításokat tartalmazó rosszindulatú Word dokumentum csak akkor aktivizálódik, amikor a felhasználó bezárja a dokumentumot (nem pedig a makrókat engedélyezi).

Ez azután történik, hogy még áprilisban fedezték fel, hogy a Locky Word dokumentumok mögé rejtőzködik, amely utána egy PDF email csatolmány mögé rejtőzik és így próbálja meg elkerülni az észlelését.

Sandbox kikerülés

Ennek az egészen körmönfont kikerülési technikának a felfedezése a Malwarebytes kutatóinak, Marcelo Riveronak és Jérome Seguranak köszönhető, akik ezt az új taktikát úgy írták le a blogbejegyzésükben, mint egy ‘anti sandbox képesség’.

A Locky ransomware hagyományosan spam emailek útján terjed. Általában akkor aktivizálódik, amikor a felhasználó letölt egy fertőzött Word vagy Excel állományt, és a felhasználót különféle trükkökkel ráveszik, hogy engedélyezze a makrókat.

Most viszont már a Locky letöltéséhez és futtatásához szükséges utasításokat tartalmazó rosszindulatú Word dokumentum csak akkor aktivizálódik, amikor a felhasználó bezárja azt – ez ugye egy természetes felhasználói reakció.

Ez azt jelenti, hogy a rosszindulatú mintákat automatikusan elemző sandboxok valószínűleg teljesen figyelmen kívül hagyják, mivel ezek nem ‘gondolnak’ a dokumentum bezárására.

“A kártevő szerzők makrókat tartalmazó becsapdázott Office dokumentumokat használtak egy ideig a töltetük visszakereséséhez, de általában a kód azonnal végrehajtásra kerül, amint a felhasználó ráklikkel az ‘Enable Content’ gombra” – figyelmeztettek a kutatók. “Elemzési célokból sok sandbox csökkenti a különböző alkalmazások biztonsági beállításait és alapértelmezetten engedélyezi a makrókat, amely engedélyezi a rosszindulatú töltet automatizált begyűjtését.”

“Azonban ez az adott Locky kampány már nem csak egyszerűen aktiválja a makró futtatását, hanem addig vár, amíg az ál Word dokumentumot bezárja a felhasználó, mielőtt elkezdene parancs csomagokat meghívni.”

Miután ez megtörtént, a töltet letöltődik és elindul.

“Habár ez nem egy szofisztikált technika, mindenesetre jól illusztrálja a folyamatos macska-egér harcot a támadók és a védekezők között” – folytatták a kutatók. “Kiderítettük, hogy jelenlegi formájában a rosszindulatú dokumentumok valószínűleg ártalmatlan viselkedést mutatnak sok sandbox felé, miközben továbbra is fertőzik a végfelhasználókat, akik logikusan bezárnák a fájlt, amikor rájönnek, hogy nincs ott semmi látnivaló.”

Ransomware fenyegetések

Még júliusban a Google figyelmeztetett, hogy a ransomware csapás itt marad velünk, miután egy új jelentés szerint a ransomware profitábilis befektetéssé vált a bűnözői csoportok számára az elmúlt másfél évben.

A Google kutatása szerint a ransomware most már rendszeresen 1 millió dollárnál is többet hoz havonta a konyhára a készítőinek. Az elmúlt két évben pedig a bűnözői csoportok legalább 25 millió dollárt szedtek össze a ransomware fertőzésekből. 2016 óta a ransomware lekérdezések 877%-kal növekedtek.

A bűnözők a ransomware kifizetéseket (jellemzően bitcoinban) gyakran több állomáson keresztül mozgatják, majd a végén a bitcoint kőkemény készpénzre váltják át.

Egyébként a ransomware után beszedett bitcoin kifizetések több mint 95%-át kifizették Oroszország BTC-e kereskedésében.

További információ angol nyelven

Ha nem szeretne ransomware áldozata lenni, olvassa el a Ransomware Kisokosunkat!

0 Comments

Leave a Comment

A honlap böngészésével elfogadja, hogy cookie-kat helyezzünk el az Ön számítógépén, hogy elemezni tudjuk, hogyan használja honlapunkat.