20 novembre 2012

Il team di Doctor Web — società russa per la sicurezza informatica — ha analizzato uno dei plugin installati dal programma malevolo Trojan.Gapz.1 che infetta Windows in un modo nuovo. I risultati mostrano che sotto forma del plugin si nasconde un cavallo di troia - ransomware che è in grado di intercettare immagini scattate dalla webcam collegata al PC infetto.

Come pure il ransomware Trojan.Winlock.7372 descritto in un articolo precedente, questo ransomware, nominato Trojan.Winlock.7384, non contiene immagini o testi nel suo codice. Invece di questi, per generare i contenuti della finestra di blocco di Windows, il trojan utilizza un file XML ricevuto dal server di controllo.

Una volta avviato sulla macchina infetta, Trojan.Winlock.7384 decifra il suo file di configurazione che specifica in quali paesi e con quali sistemi di pagamento deve interagire il programma malevolo.

I sistemi di pagamento sono principalmente Ukash, Moneypack e Paysafecard. Il trojan genera un numero di identificazione unico basato sulla configurazione dell’hardware e lo invia al server di controllo insieme ad altre informazioni sul computer infetto. Per risposta, il trojan riceve le informazioni WHIOS dell’indirizzo IP del computer, fra cui anche la posizione geografica della macchina vittima. Ricevute queste informazioni, il trojan le confronta con la lista dei paesi memorizzata nel suo file di configurazione e blocca Windows solo se il computer si trova in Canada, Spagna, Germania, Francia, Italia, Portogallo, Austria, Svizzera, Regno Unito, Australia o negli Stati Uniti. Eseguita quest’operazione, Trojan.Winlock.7384 invia un’altra query e riceve per risposta la conferma della registrazione del bot sul server di controllo. Infine, come risposta all’ultima interrogazione, dal centro di comando si scaricano alcuni file XML sulla base dei quali si generano i contenuti della finestra di blocco: un’immagine e un testo redatto nella lingua appropriata.

Una caratteristica interessante di questa versione del ransomware è che Trojan.Winlock.7384 può intercettare immagini prodotte dalla webcam collegata al computer infetto e mostrarle nella finestra di blocco di Windows al fine di intimidire l'utente. Il testo visualizzato nella finestra di blocco, che sarebbe un messaggio dalle autorità di polizia, menziona che tutte le azioni dell’utente eseguite sul computer vengono registrate e la foto dell’utente scattata dalla webcam viene memorizzata per identificarlo e per ricavare le sue informazioni personali.

Il trojan richiede che per sbloccare il sistema operativo, l’utente inserisca il codice del voucher del sistema di pagamento — questo codice di solito si trova sulla ricevuta rilasciata dal terminale di pagamento al versamento del denaro. Il codice immesso dall’utente viene inviato al server remoto dei malintenzionati dove viene verificata la sua autenticità. Se il fatto di pagamento si è confermato, il server di controllo comanda al trojan di sbloccare il computer. L’importo richiesto dai malintenzionati per lo sblocco del computer è €100, o $150.

I ransomware analizzati recentemente dal laboratorio antivirale di Doctor Web evidenziano che i malintenzionati rinunciano gradualmente ai ransomware tradizionali, montati da pezzi standard, e cominciano a sviluppare programmi complessi dotati di una varietà di funzioni.