RAA, un extorsionista escrito totalmente en JavaScript

Los investigadores de Bleeping Computer presentaron los resultados de su análisis del criptobloqueador RAA, escrito totalmente en JavaScript. Según el autor de la entrada del blog Lawrence Abrams, el nuevo software de extorsión se distribuye a través de adjuntos maliciosos de correo camuflado como un documento Word.

Los primeros en descubrir RAA fueron los investigadores @JAMES_MHT y @benkow, que anunciaron su descubrimiento en Twitter. Debido a que JavaScript en su implementación estándar que cuenta con funciones criptográficas avanzadas, los autores del malware recurrieron a CryptoJS, una biblioteca de código abierto de algoritmos tales como AES, DES, etc.

En este caso, RAA cifra los archivos de la víctima con una clave AES de 256 bits. Además, instala una variante del secuestrador de contraseñas Pony, que está incrustado en el archivo JS como una cadena codificada con base64.

“Sin lugar a duda, los ataques basados en JavaScript están ganando popularidad, pero en la mayoría de los casos el malware extorsionista – es un código compilado, – declaró Abrams en una entrevista con Threatpost el martes pasado. – Creo que el aumento en el número de instaladores basados ​​en JS se explica por el simple hecho de que son más fáciles de escribir y depurar”.

“Los autores de virus también utilizan la ofuscación, lo que complica el análisis del escáner anti-virus. Por ejemplo, en este momento el archivo JS se detecta 6 de cada 44 veces”, – agregó el experto, citando a VirusTotal (desde entonces, esta proporción ha cambiado).

Como muchos de sus colegas, RAA cifra imágenes, documentos de Word y Excel, archivos de Photoshop, archivos .zip y .rar, además de Archivos de programa, Windows, AppData y Microsoft. Al final de cada extensión de archivo cifrado se añade la extensión .locked. El mensaje que exige el pago de un rescate está escrito en ruso; insta al usuario a enviarlo a la ID especificada en la dirección de correo electrónico @keemail.me, descifrar varios archivos como prueba y, después de constatar que el descifrador funciona, enviar 0,39 bitcoins (aproximadamente 250 dólares) a los dueños de RAA.

Por el momento no está claro qué tan exitoso es este proyecto. En unos días, según Abrams, 65 usuarios abrieron el archivo JS, pero desde entonces el servidor de administración de RAA no ha dado señales de estar funcionando.

A principios de este año, el experto de Emisoft Fabian Wosar descubrió un extorsionista similar creado usando Node.js y empaquetado en un archivo ejecutable. Sin embargo, RAA – es el primer bloqueador que se distribuye como un archivo JS-estándar que aparece en el radar de los investigadores.

Fuentes: Threatpost