9/2/19

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!



Εντοπίστηκε κακόβουλο αρχείο Excel το οποίο δημιουργεί εντολή Powershell από τα Pixels μια εικόνας του Mario από το Super Mario Bros.

Η τεχνική λέγεται στεγανογραφία και δεν είναι καινούργια, όμως τώρα εμφανίστηκε πιο εξελιγμένη και με κακές διαθέσεις. Πολύ κακές.

Η επίθεση που εντοπίστηκε, εστίαζε αποκλειστικά και μόνο σε Ιταλούς.
Προσποιείται πως πρόκειται -κλασικά- για ειδοποίηση πληρωμής.
Το παγιδευμένο επισυναπτόμενο έχει τίτλο F.DOC.2019 A 259 SPA.xls ή παραπλήσιο.


Αν κανείς το ανοίξει, το αρχείο ζητάει την ενεργοποίηση των μακροεντολών. Κάτι που δεν θα πρέπει να κάνετε ΠΟΤΕ, εκτός αν είστε 10000000% σίγουροι για το τι ακριβώς κάνετε


Μόλις γίνει η ενεργοποίηση των μακροεντολών, αυτές τσεκάρουν τη χώρα πρόελευσης του θύματος, και αν δεν είναι η Ιταλία, τότε το φύλλο θα κλείσει χωρίς να συμβεί τίποτα.


Αν η χώρα προέλευσης είναι η Ιταλία, κατεβαίνει αυτή η εικόνα:


(Φυσικά, την έχουμε τροποποιήσει για να μην μπορεί να χρησιμοποιηθεί πλέον κακόβουλα)

Μόλις η εικόνα κατέβει, το σκριπτάκι θα εξαγάγει διάφορα pixels από την εικόνα προκειμένου να κατασκευάσει εντολή Powershell, την οποία στη συνέχεια εκτελεί.
Αυτή με τη σειρά της θα κατεβάσει και θα εκτελέσει κακόβουλο λογισμικό το οποίο με τη σειρά του κατεβάζει και εγκαθιστά GandCrab 5.1. 



Διαβάστε αναλυτικά τον τρόπο που αυτό είναι δυνατό μέσω της Στεγανογραφίας, σε μία εξαιρετική ανάλυση από την Bromium.

Περιττό να επαναλάβουμε, μην ανοίγετε επισυναπτόμενα από αγνώστους και πάντα επαληθεύετε ότι το αρχείο προοριζόταν για εσας.