I creatori di malware stanno dietro ai progetti ransomware locky e Zepto ha dimostrato ancora una volta che stanno lavorando per tutto il tempo, non solo di infettare sempre più utenti e rimanere in cima alla classifica ransomware, ma stanno anche lavorando alla procedura di infezione stessa per rendere questi attacchi ancora più efficaci – utilizzando l'iniezione di file .DLL.
Questo modo, questi criminali informatici hanno migliorato i metodi di infezione è che si sono concentrati su un "collo di bottiglia" molto importante: i tipi di file utilizzati per eseguire la crittografia e l'eliminazione della crittografia dannosa e altri moduli di supporto del ransomware.
Perché il nuovo metodo di infezione?
Il team di hacker dietro Locky e Zepto che rimangono sconosciuti e finora ricercati hanno utilizzato in precedenza diversi metodi di spargimento, come JavaScript (.JS) file, noto anche come ransomware "senza file" e anche eseguibili dannosi e kit di exploit allegati direttamente a e-mail e URL dannosi. Ciò ha portato a un elevato successo di infezioni perché quei file erano ben offuscati e si diffondevano in modo massiccio.
Articolo correlato: Locky, Dridex botnet ha emesso TeslaCrypt(Maggiori informazioni sulle infezioni da spam Locky)
Tuttavia, a differenza degli eseguibili utilizzati in precedenza, gli hacker dietro Locky ransomware hanno ancora fatto una modifica creando la possibilità di eseguire un file .dll tramite il processo rundll32.exe. Poiché la maggior parte dei prodotti antivirus non rileva attività sospette perché tende a impostare questo processo come legittimo e ignora la scansione per attività dannose, i sistemi vengono infettati da Zepto o Locky, ancora crittografando i file delle vittime.
Come funziona un'infezione da DLL?
Per capire come funziona questo processo di infezione, dobbiamo analizzare cosa esegue esattamente il processo rundll32.exe.
In origine rundll32.exe è un'applicazione che viene utilizzata per eseguire la cosiddetta libreria di collegamento dinamico (DLL) file, perché non hanno modo di essere giustiziati direttamente. Questo è un modo e molto probabilmente la tecnica che Locky o Zepto possono utilizzare per infettare con successo il computer della vittima. Tuttavia, a volte i programmi anti-malware rilevano attività sospette e questo è il motivo, il virus utilizza il cosiddetto processo di offuscamento, fare in modo che il file DLL ignori le ultime definizioni antivirus. Tali offuscatori noti anche come file cryptor sono molto costosi e la loro capacità di rimanere inosservati svanisce molto velocemente, perché la maggior parte dei programmi antivirus viene aggiornata molto spesso.
Locky e Zepto continuano le loro campagne in modo ancora più vigoroso
Locky e Zepto ransomware sono uno dei più grandi nomi nel mondo del ransomware. L'utilizzo di questi virus suggerisce che il team dietro di loro ha speso molto tempo per mantenere in vita quei virus e ha anche molta esperienza in questo campo. Un indicatore di ciò è che i virus stanno ancora infettando gli utenti e la maggior parte dei virus ransomware di solito termina il proprio ciclo di vita dopo brevi periodi di tempo. Tuttavia, i metodi di infezione in continua evoluzione (JavaScript, eseguibili dannosi, Bruteforcing remoto) suggeriscono che Locky e Zepto siano qui per restare e continuare a fare soldi a spese degli utenti.
Ventsislav Krastev
Da allora Ventsislav è un esperto di sicurezza informatica di SensorsTechForum 2015. Ha fatto ricerche, copertura, aiutare le vittime con le ultime infezioni da malware oltre a testare e rivedere il software e gli ultimi sviluppi tecnologici. Avendo Marketing laureato pure, Ventsislav ha anche la passione per l'apprendimento di nuovi turni e innovazioni nella sicurezza informatica che diventano un punto di svolta. Dopo aver studiato la gestione della catena del valore, Amministrazione di rete e amministrazione di computer delle applicazioni di sistema, ha trovato la sua vera vocazione nel settore della cibersicurezza ed è un convinto sostenitore dell'educazione di ogni utente verso la sicurezza online.
Seguimi: