Securitate IT: Cercetatorii de la ESET au identificat actualizari pentru cripto-ransomware-ul TorrentLocker

Share This

TorrentLocker, cripto-ransomware-ul directionat catre anumite tari, a primit imbunatatiri, care il fac mai greu de urmarit si de analizat.

TorrentLocker, analizat de catre ESET in anul 2014, este inca activ, iar datorita modului in care acesta vizeaza victimele potentiale cu spam directionat, reuseste sa evite atentia pe care o primeste cel mai proeminent cripto-ransomware. Cu toate acestea, cercetatorii de la ESET au continuat sa urmareasca evolutia acestui malware.

“Grupul din spatele TorrentLocker pare a se mentine pe pozitii. A fost imbunatatita tactica, iar ransomware-ul a avut parte de mici inovatii, in timp ce s-a incercat mentinerea in afara zonei de detectie”, afirma Marc-Etienne M. Léveillé, cercetator malware la ESET.

TorrentLocker este distribuit prin intermediul mesajelor e-mail ce fac legatura cu o pagina web, unde se pretinde ca un document; (aparent o factura sau un cod de urmarire de colet) trebuie descarcat. In cazul in care “documentul” malitios este descarcat si deschis de catre utilizator, TorrentLocker este executat. Acesta incepe comunicarea cu serverul de comanda si control (C&C) si cripteaza fisierele victimei.

O caracteristica bine-cunoscuta pentru TorrentLocker este modul in care sunt localizate paginile de descarcare, de rascumparare si de plata. Victimelor li se furnizeaza informatii in limba si in moneda locala.

Imbunatatirile aduse atacurilor TorrentLocker vizeaza mecanismele prin care sunt contactate serverele sale de comanda si control, protectia serverelor printr-un strat suplimentar de criptare si mascare precum si procesul de criptare a fisierelor utilizatorilor.

Una dintre cele mai notabile imbunatatiri ale caracteristicilor lui CryptoLocker tine de adaugarea unui script in lantul de executie ce duce la executabilul final.

“Link-ul din e-mailul de tip spam conduce acum la un script PHP gazduit pe un server compromis. Scriptul verifica daca vizitatorul ce navigheaza pe internet se afla in tara vizata, iar in cazul in care acest lucru este conform planului, utilizatorul va fi redirectionat catre o pagina unde va fi descarcata urmatoarea etapa a acestui malware. In caz contrar, vizitatorul este redirectionat catre Google”, explica Marc-Etienne M. Léveillé.

In analizarea acestui malware si a campaniilor sale, cercetatorii de la ESET au constatat faptul ca 22 de tari au primit o versiune localizata a paginii pentru rascumparare. Cu toate acestea, 7 dintre acestea nu au fost afectate inca de nicio campanie majora de spam legata de TorrentLocker. Acestea sunt Franta, Japonia, Martinica, Portugalia, Coreea, Taiwan si Thailanda.