Il ransomware Matrix cerca di fare il worm

Apr 11, 2017 Marco Schiaffino Malware, Minacce, News, Ransomware, RSS 0

Una nuova versione del malware crea collegamenti a sé stesso cercando di usare cartelle condivise e unità esterne per diffondersi su altri PC.

Uno dei timori espressi da molti esperti di sicurezza negli ultimi mesi riguardo i ransomware, è quello che si verifichi un “salto di qualità” nella capacità di diffusione dei malware.

Nonostante l’impatto dei ransomware sia notevole, per il momento i cyber-criminali si sono accontentati di utilizzare vettori di attacco piuttosto convenzionali, utilizzando email di phishing, Exploit Kit o caricando i ransomware su macchine già infettate da trojan.

Cosa succederebbe se qualcuno mettesse a punto un ransomware-worm in grado di diffondersi indipendentemente?

I primi tentativi di questo genere si stanno già verificando, anche se le tecniche usate dai pirati sono ancora piuttosto artigianali.

Lo stratagemma usato da Matrix, un ransomware comparso tempo fa ma ora distribuito in una nuova versione, è però piuttosto ingegnoso.

Matrix è un classico crypto-ransomware, programmato per cifrare tutti i file che individua in determinate cartelle e chiedere un riscatto in Bitcoin che la vittima deve pagare per ottenere la chiave che consente di “liberare” i file.

Una volta crittografati i file, Matrix mostra una classica richiesta di riscatto “camuffata” da multa con tanto di logo del Dipartimento di Giustizia.

Mentre crittografa i dati, però, Matrix si dà anche da fare per cercare di diffondersi su altri computer. A questo scopo il malware crea una trappola piuttosto complessa.

Per prima cosa individua una serie di cartelle predefinite e ne modifica le proprietà in modo che siano nascoste. Poi crea un collegamento alla cartella stessa, che ha lo stesso nome e la stessa posizione. Insomma: agli occhi di chi guarda lo schermo, l’unica differenza rispetto a prima è che l’icona è cambiata da quella di una normale cartella a un collegamento.

In realtà c’è di più: nella cartella nascosta, infatti, c’è anche un file chiamato desktop.ini, che contiene il ransomware stesso. Il collegamento inserito al posto della cartella, inoltre, contiene una serie di istruzioni: %SystemRoot%\system32\cmd.exe /C explorer.exe “NomeCartella” & type “NomeCartella\desktop.ini” > “%TEMP%\OSw4Ptym.exe” && “%TEMP%\OSw4Ptym.exe”.

Quando si attiva il collegamento, di conseguenza, sul sistema viene per prima cosa aperta la cartella nascosta in explorer.exe, in modo che l’utente veda normalmente i file in essa contenuti. Nel frattempo, però, l’eseguibile viene copiato in una cartella temporanea e poi avviato.

Lo stratagemma permette di colpire i computer che si collegano a cartelle condivise del computer infetto, o che usano unità di memoria esterne che erano collegate al PC quando è stato infettato.

Il rischio di diffusione quindi è piuttosto limitato, per lo meno in ambito casalingo. Ma può diventare un problema più serio in un’azienda, dove la condivisione di cartelle e l’utilizzo di unità rimuovibili è più comune.

Condividi l'articolo