I ricercatori di sicurezza informatica di Cybereason hanno scoperto che una delle ultime varianti del famigerato ransomware DJVU, soprannominato Xaro, utilizza software crackato come vettore di distribuzione. Vale la pena notare che questo non è il primo caso di DJVU noto anche come ARRESTA il ransomware utilizzando software crackato consegnarsi alle vittime.
Il ransomware Xaro sfrutta le vittime ignare mascherandosi da file di archivio apparentemente innocui provenienti da piattaforme dubbie mascherate da legittimi fornitori di freeware. La tattica ingannevole consiste nel presentarsi come un sito che offre software gratuito, attirando gli utenti a scaricare quello che sembra essere un programma di installazione innocuo per CutePDF, un popolare software di scrittura PDF.
PrivateLoader Utilizzato nella campagna
All'apertura dell'archivio, il presunto programma di installazione di CutePDF attiva l'attivazione di PrivateLoader, un servizio di download di malware a pagamento per installazione. PrivateLoader stabilisce una connessione con un server di comando e controllo, avviando il download di una varietà di famiglie di malware, compresi famigerati ladri di informazioni come Il ladro di RedLine e Vidar, così come potenti caricatori come SmokeLoader e Nymaim.
Una caratteristica distintiva di questo attacco è la sua “approccio con il fucile,” in cui più ceppi di malware vengono distribuiti simultaneamente. Questa tattica strategica garantisce il successo dell'attacco, anche se un carico utile viene rilevato e bloccato dalle misure di sicurezza convenzionali. La vasta gamma di famiglie di malware, ognuno con capacità uniche, sottolinea la complessità del panorama delle minacce.
Fedele alla sua natura ransomware, Xaro non solo crittografa i file all'interno dell'host infetto, ma distribuisce anche un'istanza dell'infostealer Vidar. Questo approccio a doppia minaccia mira a massimizzare l’impatto sui sistemi presi di mira, combinando la crittografia dei file a scopo di estorsione con il potenziale furto di informazioni doppia estorsione scenari.
Dopo la crittografia dei file, Xaro emette una richiesta di riscatto, esigendo il pagamento di $980 per la chiave privata e lo strumento di decrittazione. In particolare, l'importo del riscatto viene dimezzato $490 se la vittima contatta l'attore della minaccia all'interno 72 orario, aggiungendo un senso di urgenza al tentativo di estorsione.
I rischi del freeware proveniente da fonti non attendibili
Questa catena di attacchi serve a ricordare chiaramente i rischi associati al download di freeware da fonti non attendibili. Mentre gli autori delle minacce preferiscono sempre più il freeware come metodo di distribuzione segreta di codice dannoso, sia gli utenti che le imprese devono stare all’erta e adottare rigorose misure di sicurezza informatica per difendersi strategie ransomware in evoluzione.