De schrijvers van malware achter de Locky en Zepto ransomware projecten bewees eens te meer dat ze de hele tijd werken niet alleen meer en meer gebruikers te infecteren en te blijven op de top van de ransomware chart, maar ze werken ook aan de infectieprocedure zelf om die aanvallen nog succesvoller te maken – met behulp van .DLL-bestandsinjectie.
Zo, Deze cybercriminelen hebben de infectiemethoden verbeterd, omdat ze zich concentreerden op een zeer belangrijke "bottleneck" - de soorten bestanden die worden gebruikt om de codering uit te voeren en het verwijderen van de kwaadaardige codering en andere ondersteuningsmodules van de ransomware.
Waarom de nieuwe infectiemethode?
Het hackteam erachter Locky en Zepto die tot nu toe onbekend en gewild blijven, hebben eerder verschillende verspreidingsmethoden gebruikt, zoals JavaScript (.JS) bestanden, ook bekend als "bestandsloze" ransomware en ook kwaadaardige uitvoerbare bestanden en exploitkits die rechtstreeks aan e-mails en kwaadaardige URL's zijn toegevoegd. Dit heeft geresulteerd in een hoog succes van infecties omdat die bestanden goed waren verdoezeld en massaal verspreid.
Verwante artikel: Locky, Dridex Botnet Ook heeft geleverd TeslaCrypt(Meer informatie over de Locky-spaminfecties)
Echter, in tegenstelling tot de eerder gebruikte uitvoerbare bestanden, de hackers achter Locky ransomware hebben al eens een wijziging aangebracht waardoor de mogelijkheid ontstaat om een .dll-bestand uit te voeren via het proces rundll32.exe. Omdat de meeste antivirusproducten geen verdachte activiteiten detecteren, omdat ze dit proces meestal als legitiem instellen en het scannen op kwaadaardige activiteiten overslaan, de systemen raken geïnfecteerd met Zepto of Locky, nog steeds bestanden van slachtoffers versleutelen.
Hoe werkt een DLL-infectie??
Om te begrijpen hoe dit infectieproces werkt, we moeten ontleden wat het rundll32.exe-proces precies uitvoert.
Oorspronkelijk is rundll32.exe een applicatie die wordt gebruikt om de zogenaamde Dynamic Link Library te draaien (DLL) bestanden, omdat ze op geen enkele manier rechtstreeks kunnen worden geëxecuteerd. Dit is een manier en hoogstwaarschijnlijk de techniek die Locky of Zepto kan gebruiken om de computer van het slachtoffer succesvol te infecteren. Echter, soms vangen anti-malwareprogramma's verdachte activiteiten op en dit is waarom, het virus maakt gebruik van de zogenaamde procesversluiering, waardoor het DLL-bestand de nieuwste antivirusdefinities overslaat. Dergelijke versluierers, ook wel bestandscryptors genoemd, zijn erg duur en hun vermogen om onopgemerkt te blijven, verdwijnt extreem snel, omdat de meeste antivirusprogramma's heel vaak worden bijgewerkt.
Locky en Zepto zetten hun campagnes nog krachtiger voort
De Locky en Zepto ransomware zijn een van de grootste namen in de wereld van ransomware. Het gebruik van die virussen suggereert dat het team erachter veel tijd heeft gestoken om die virussen in leven te houden en ook veel ervaring op dit gebied heeft.. Een indicator hiervoor is dat de virussen gebruikers nog steeds infecteren en dat de meeste ransomwarevirussen hun levenscyclus meestal na korte tijd beëindigen.. Echter, de steeds veranderende infectiemethoden (JavaScript, Schadelijke Executables, Bruteforcing op afstand) stel voor dat Locky en Zepto hier zijn om te blijven en geld te blijven verdienen ten koste van de gebruikers.