W poprzednim tygodniu, na blogu CERT Polska, pojawiła się moja analiza malware’u znanego jako CryptXXX oraz CrypMIC.
Poniżej zajawka posta:
Zagrożenie pojawiło się kilka miesięcy temu jako moduł exploit-kita Neutrino. Infekcja następuje po wejściu na stronę na której publikowane są złośliwe reklamy (malvertising).
Celem ataku jest głównie nieaktualna wtyczka Adobe Flash Player (wersje do 21.0.0.213, podatność CVE-2016-4117). Złośliwe oprogramowanie dystrybuowane jest zamiennie z ransomware takim jak CryptoWall, TeslaCrypt, CryptoLocker i Cerber.
W ciągu dwóch tygodni czerwca twórcom CryptXXX udało się zarobić 70 BTC (na dzień wpisu jest to około 160 000 PLN / 41 000 USD). Lukratywność tego przedsięwzięcia spowodowała pojawienie się naśladowców, szukających szybkiego zarobku za pomocą malware określanego jako CrypMIC.
Bardzo rzadko zdarza się tyle podobieństw pomiędzy niespokrewnionymi rodzinami malware:
* Dostarczane jako biblioteki .DLL (w niektórych wersjach ten sam entry-point: XMS0\MMS0)
* Schemat nazewnictwa pliku w postaci: rad[losowy\_ciąg\_znaków].tmp.dll
* Żądany okup w wysokości 1,2 – 2,4 BTC
* Nazwy plików z informacją o okupie róźnią się jedynie jedną literą (‚!’ na początku) i mają takie same rozszerzenia (.TXT, .BMP)
* Własny protokół komunikacji po TCP (port 443)
* Takie same stringi, mające identyfikować (prawdopodobnie) kampanię
* Szyfrowanie udziałów sieciowych oraz dysków wymiennych podłączonych do komputera w momencie infekcji
* Zbliżony układ graficzny i tekst na bitmapach z żądaniem okupu, ustawianych jako tapeta na pulpicie
Zachęcam do zapoznania się z całym wpisem 🙂
P.S. Dzisiaj również zespół Cisco Security opublikował swoją analizę techniczną CryptXXX, lecz w starszych wersjach: 2.006 oraz 3.000.