Los operadores del malware CryptXXX, que está tomando fuerza rápidamente, lo han actualizado para perfeccionar su sistema de cifrado y le han agregado nuevas tecnologías de protección que dificultan su detección y análisis. Según SentinelOne, en dos semanas la nueva variante del programa extorsionador ha hecho ganar a sus dueños cerca de 50.000 dólares en bitcoins.
Como escribe en su blog el analista de la compañía Caleb Fenton, el nuevo CryptXXX se propaga exclusivamente mediante spam. Este malware, rival de Locky, apareció hace muy poco tiempo, pero está evolucionando rápidamente. Por ejemplo, a finales de mayo se descubrió una nueva iteración de CryptXXX que contaba con un módulo para robar datos de otras aplicaciones.
Su análisis demostró que el objetivo principal de la presente actualización del bloqueador es corregir todos los errores que permitieron crear instrumentos gratuitos para descifrar archivos. Así, el descifrador incluido en la utilidad especializada de Kaspersky Lab no funciona contra CryptXXX 3.100, a pesar de que lo detecta y sigue siendo efectivo contra las versiones 1 y 2 de este malware.
La versión más reciente de CryptXXX, según SetinelOne, cifra los archivos mediante una combinación de RSA y RC4. Al hacerlo, le agrega la extensión .cryp1 al nombre del archivo cifrado (anteriormente usaba .crypz y . crypt). El estudio del contenido de la billetera de bitcoins al que los delincuentes pedían enviar el rescate mostró que en el periodo del 4 al 21 de junio recibió más de 60 transferencias de 1,2 o 2,4 bitcoins.
El análisis del nuevo ejemplar también detectó la presencia de una capa más de camuflaje: la “carga útil” estaba escondida en la copia de una DLL usada por el programa de redacción de video CyberLink PowerDVD Cinema. “La revisión rápida de las características de la DLL maliciosa mostró que, a todas luces, usa algunos elementos de la DLL legítima llamada _BigBang.dll”, escribe Fenton en el blog.
Incluso después de desempaquetarlo, el contenido de la DLL aparentaba ser “inocuo en su mayor parte”, pero un análisis más minucioso confirmó que era solo un disfraz. Algunas de las funciones que importaba y que estaban relacionadas con el cifrado les parecieron fuera de lugar a los investigadores. “La lista de exportación es demasiado grande y provoca dudas sobre la legitimidad del programa”, sigue contando el experto. “Además, las funciones importadas y exportadas son muy diferentes a las de la _BigBang.dll legítima. Tenemos fuertes razones para suponer que estas funciones se incluyeron para estorbar el análisis”.
El subprograma de descifrado y descompresión es el que da la orden de iniciar la ejecución de la DLL maliciosa. El desempaquetador solicita la clave de registro SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Startup para determinar la ubicación de la carpeta Inicio de Windows. Esto es necesario para guardar el mensaje HTML que exige el rescate y las instrucciones de cómo pagarlo de tal manera que se muestren cada vez que se encienda el equipo.
“El ejemplar que analizamos al principio se ejecutaba desde un acceso directo (archivo .lnk)” remarca Fenton. Es un atajo a rundll32.exe F0F3.tmp.dll y MSX3″ remarca Fenton. Al ejecutar el comando rundll32 se carga F0F3.tmp.dll y a continuación se conecta la función MSX3. “Después de obtener la dirección MSX3, la ejecución se transfiere a esta dirección y da inicio al cifrado de ficheros y la exigencia de pagar el rescate” concluye el experto.
Fuentes Threatpost
CryptXXX mejora sus sistemas de cifrado y protección