Νέες εκδόσεις του Locky ransomware, παραλλαγές που είναι επίσης γνωστές και ως Zepto ransomware, έχουν αλλάξει τον κλασικό τρόπο λειτουργίας τους και τώρα στηρίζονται σε JavaScript κώδικα περισσότερο από ποτέ.
Το Locky είναι μια παραλλαγή ransomware που εμφανίστηκε στην αρχή του έτους και συνεχώς εξελισσόταν. Ένα από τα πράγματα που παρέμεινε το ίδιο όλους αυτούς τους μήνες ήταν το payload του, το οποίο ήταν ένα JavaScript αρχείο που ήταν ενσωματωμένο μέσα σε ένα ZIP αρχείο, το οποίο οι χρήστες λάμβαναν μέσω email.
Αυτό το αρχείο συνήθως περιέχει κάτι που οι ερευνητές ασφαλείας καλούν “downloader”, ένα κακόβουλο στοιχείο που κατεβάζει το πραγματικό Locky ransomware binary και ξεκινά την εκτέλεση.
Σύμφωνα με τους ερευνητές από τη Cyren, από τις 20 Ιουλίου, ένα νέο κύμα των Locky μολύνσεων ξεκίνησε να παραδίδει ολόκληρο τον κώδικα του ransomware μέσα σε ένα JavaScript αρχείο.
Οι ερευνητές αμέσως αντιλήφθηκαν αυτή την αλλαγή λόγω της εκτόξευσης του μεγέθους του ZIP αρχείου, το οποίο αυξήθηκε από λίγα KBs σε πάνω από 250 KB. Ανοίγοντας αυτό το JS αρχείο από το ZIP αρχείο μέσα σε ένα πρόγραμμα επεξεργασίας κώδικα εμφανίζει πολύ περισσότερο κώδικα από ότι πριν.
Οι ερευνητές λένε ότι αυτός ο κώδικας περιέχει το πραγματικό Locky binary, το οποίο ανακατασκευάστηκε από JavaScript κώδικα και αποθηκεύεται στο λειτουργικό σύστημα του χρήστη όταν το JS αρχείο εκτελεστεί.
“Η ενσωμάτωση malware binaries σε scripts υπήρχε για χρόνια”, σημειώνει ο Maharlito Aquino της Cyren, “έτσι δεν αποτελεί έκπληξη να βλέπουμε το Locky να κάνει χρήση της τεχνικής αυτής στην παράδοση του ransomware component του.”
Μόλις το Locky binary αποθηκευτεί στο φάκελο Temp του χρήστη, ξεκινάει αυτόματα και την εκτέλεσή του, ξεκινώντας τη διαδικασία κρυπτογράφησης που κλειδώνει τα αρχεία του χρήστη.
“Σημείωση: Αυτό δεν σημαίνει ότι το Locky είναι γραμμένο σε JavaScript, το binary εξακολουθεί να γίνεται compile από μια άλλη γλώσσα προγραμματισμού, αλλά αντί να χρησιμοποιεί δύο στάδια μόλυνσης, το Locky τώρα παραδίδεται άμεσα μέσω του JS αρχείου. “
Όπως αναφέρθηκε παραπάνω, αυτή η συγκεκριμένη έκδοση προσαρτά την .zepto επέκταση στο τέλος όλων των κρυπτογραφημένων αρχείων. Ορισμένες εταιρείες ασφαλείας έχουν εντοπίσει αυτό το κύμα του Locky ransomware κάτω από ένα εντελώς διαφορετικό όνομα, ως Zepto ransomware.
Στο τέλος του Ιουνίου και στις αρχές του Ιουλίου, οι ερευνητές ασφάλειας της Cisco παρατήρησαν ένα τεράστιο κύμα ανεπιθύμητων μηνυμάτων (137.731 emails σε τέσσερις ημέρες) που παρέδιδαν το Locky / Zepto ransomware. Αυτό το συγκεκριμένο κύμα χρησιμοποιούσε ακόμα την παλιά ZIP-JS-downloader-Locky ρουτίνα μόλυνσης.
Η Cyren ήταν πολύ επιμελής στο να παρακολουθεί στενά τις μεθόδους διανομής και μόλυνσης του Locky.
Η εταιρεία ανέφερε και άλλες αλλαγές στην κατανομή Locky, αλλά όχι στις Zepto παραλλαγές. Μεταξύ αυτών είναι η χρήση των DOCM αρχείων, μια εναλλακτική λύση των DOC και DOCX, για τη μόλυνση των χρηστών μέσω μακροεντολών του Word.
Επιπλέον, η εταιρεία σημείωσε και τη χρήση WSF αρχείων, αντί JavaScript αρχείων, με τα WSF αρχεία να είναι ουσιαστικά ένας άλλος τρόπος για τη συσκευασία και την εκτέλεση του JavaScript κώδικα.
