Εμφάνιση αναρτήσεων με ετικέτα Steganography. Εμφάνιση όλων των αναρτήσεων
Εμφάνιση αναρτήσεων με ετικέτα Steganography. Εμφάνιση όλων των αναρτήσεων

Σάββατο, 9 Φεβρουαρίου 2019

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!

Ransomware "κατεβαίνει" μέσω των pixel μιας εικόνας!



Εντοπίστηκε κακόβουλο αρχείο Excel το οποίο δημιουργεί εντολή Powershell από τα Pixels μια εικόνας του Mario από το Super Mario Bros.

Η τεχνική λέγεται στεγανογραφία και δεν είναι καινούργια, όμως τώρα εμφανίστηκε πιο εξελιγμένη και με κακές διαθέσεις. Πολύ κακές.

Η επίθεση που εντοπίστηκε, εστίαζε αποκλειστικά και μόνο σε Ιταλούς.
Προσποιείται πως πρόκειται -κλασικά- για ειδοποίηση πληρωμής.
Το παγιδευμένο επισυναπτόμενο έχει τίτλο F.DOC.2019 A 259 SPA.xls ή παραπλήσιο.


Αν κανείς το ανοίξει, το αρχείο ζητάει την ενεργοποίηση των μακροεντολών. Κάτι που δεν θα πρέπει να κάνετε ΠΟΤΕ, εκτός αν είστε 10000000% σίγουροι για το τι ακριβώς κάνετε


Μόλις γίνει η ενεργοποίηση των μακροεντολών, αυτές τσεκάρουν τη χώρα πρόελευσης του θύματος, και αν δεν είναι η Ιταλία, τότε το φύλλο θα κλείσει χωρίς να συμβεί τίποτα.


Αν η χώρα προέλευσης είναι η Ιταλία, κατεβαίνει αυτή η εικόνα:


(Φυσικά, την έχουμε τροποποιήσει για να μην μπορεί να χρησιμοποιηθεί πλέον κακόβουλα)

Μόλις η εικόνα κατέβει, το σκριπτάκι θα εξαγάγει διάφορα pixels από την εικόνα προκειμένου να κατασκευάσει εντολή Powershell, την οποία στη συνέχεια εκτελεί.
Αυτή με τη σειρά της θα κατεβάσει και θα εκτελέσει κακόβουλο λογισμικό το οποίο με τη σειρά του κατεβάζει και εγκαθιστά GandCrab 5.1. 



Διαβάστε αναλυτικά τον τρόπο που αυτό είναι δυνατό μέσω της Στεγανογραφίας, σε μία εξαιρετική ανάλυση από την Bromium.

Περιττό να επαναλάβουμε, μην ανοίγετε επισυναπτόμενα από αγνώστους και πάντα επαληθεύετε ότι το αρχείο προοριζόταν για εσας. 


Τα νέα των Ransomware, 9/2/19

Eνδιαφέρουσα εβδομάδα!

Πρώτον, είχαμε αποκάλυψη στην πράξη για τον τρόπο που επιτήδειοι που παριστάνουν τους ειδήμονες "διαμεσολαβητές", εισπράττουν μερίδιο από τα λύτρα.

Δεύτερον, είχαμε ανησυχητικό κρούσμα στεγανογραφίας, η οποία είναι μέθοδος διασποράς κακόβουλου λογισμικού που είναι σχεδόν αδύνατον να ανιχνευθούν από οποιοδήποτε λογισμικό.


Τέλος, είχαμε κλασικά νέα στελέχη Dharma, Jigsaw και φυσικά STOP, ο οποίος θερίζει για 5η συνεχόμενη εβδομάδα.

Ας τα δούμε αναλυτικά:


Νέοι Dharma

2 νέα στελέχη, τοποθετούν τις επεκτάσεις .amber και .friend.
Τίποτα καινούργιο.


Νέος Jigsaw - LOLSEC

O Michael Gillespie εντόπισε ένα νέο στέλεχος του Jigsaw που τοποθετεί την επέκταση .paycoin. 



Νέος STOP - Blower

Χωρίς πολλές διαφορές με τους προηγούμενους, έχει πολλά θύματα και στην Ελλάδα...




Κι άλλος Jigsaw

Toποθετεί την επέκταση .PENNYWISE. Προσπαθεί να μας πει ότι δεν είναι Jigsaw, ενώ φυσικά και είναι.

Το κλειδί για την αποκρυπτογράφηση είναι PsTqQNhR77oKJXvBWE3YZc. 
Αν έχετε μολυνθεί, χρησιμοποιήστε τον παραπάνω κωδικό για να πάρετε πίσω τα αρχεία σας, και πείτε μας και ένα ευχαριστώ :)




Νέος Ransomware - Crypted Pony

Είναι υπό κατασκευή, τοποθετεί την επέκταση .crypted_pony_test_build_xxx_xxx_xxx_xxx_xxx