Οι ερευνητές της Kahu Security ήρθαν αντιμέτωποι με μια νέα malware παραλλαγή, γραμμένη σε JavaScript, που παίρνει τον έλεγχο της αρχική σελίδα του browser σας, αλλά θα κλείσει και τον υπολογιστή σας σε περίπτωση που ανιχνεύσετε την εισβολή και προσπαθήσετε να τερματίσετε τη διαδικασία του.
Παραλλαγές αυτού του κακόβουλου λογισμικού έχουν εντοπιστεί online από το 2014, αλλά δεν είχαν μια τόσο επιθετική συμπεριφορά, όπως αυτή η τελευταία παραλλαγή.
Το κακόβουλο λογισμικό φτάνει στους υπολογιστές των χρηστών ως ένα κακόβουλο συνημμένο αρχείο μέσω e-mail spam και παρά το γεγονός ότι πρόκειται για ένα JavaScript αρχείο, δεν εκτελείται μέσα στο πρόγραμμα περιήγησης, αλλά μέσω και του Windows Script Host, τον Windows built-in JavaScript executor.
Ρίχνοντας μια ματιά στον πηγαίο κώδικα του κακόβουλου λογισμικού, οι χρήστες δεν θα δουν τίποτα παραπάνω από ένα συνονθύλευμα τυχαίων χαρακτήρων.
Οι Kahu Security ερευνητές λένε ότι το script είναι ασαφές για να κρύψει το πραγματικό του payload του, μια σειρά από λειτουργίες που αλλάζουν τις βασικές ρυθμίσεις του λειτουργικού συστήματος. Εκτός από την ασάφεια, το script χρησιμοποιεί και τεχνάσματα, όπως κωδικοποιημένους χαρακτήρες, regex αναζήτηση, regex αντικατάσταση, ασυνήθιστη μετατροπές βάσης (script που λειτουργεί με base33) και υποθετικές συνθήκες.
Μόλις οι ερευνητές κατάφεραν να καταλάβουν τον μπερδεμένο κώδικα, ανακάλυψαν ότι το script περνά από τα ακόλουθα βήματα:
- Δημιουργεί ένα νέο φάκελο στον κατάλογο AppDataRoaming και τον κρύβει χρησιμοποιώντας ένα νέο κλειδί μητρώου (registry key)
- Αντιγράφει τη νόμιμη wscript.exe εφαρμογή των Windows μέσα σε αυτό το φάκελο και του δίνει ένα τυχαίο όνομα
- Αντιγράφει τον εαυτό του μέσα σε αυτό το φάκελο και δημιουργεί μια συντόμευση για το ίδιο, την οποία μετονομάζει σε “Start” και την τοποθετεί στον “Startup” φάκελο, επίσης προσβάσιμο μέσω του Windows Start Menu
- Εκχωρεί ένα ψεύτικο εικονίδιο φακέλου στη Start συντόμευση για να ξεγελάσει τους χρήστες ώστε να πιστέψουν ότι πρόκειται για ένα φάκελο και όχι ένα αρχείο
- Το υπόλοιπο του script κώδικα ελέγχει για μια σύνδεση στο Internet, προσπαθώντας να αποκτήσει πρόσβαση στις Microsoft, Google ή Bing.
- Στέλνει τα δεδομένα τηλεμετρίας στο urchintelemetry[.]com, κατεβάζει και τρέχει ένα κρυπτογραφημένο αρχείο από το 95.153.31[.]22
- Το κρυπτογραφημένο αρχείο είναι ένα άλλο JS script που ορίζει την αρχική σελίδα των Chrome, Firefox και IE στην login.hhtxnet[.]com, η οποία ανακατευθύνει τους χρήστες σε ένα άλλο site: portalne[.]ws
- Αυτό το τελευταίο script χρησιμοποιεί WMI (Windows Management Instrumentation) για να ελέγξει για λογισμικό που αφορά την ασφάλεια
- Αν το script βρει λογισμικό που σχετίζεται με την ασφάλεια, τερματίζει την εκτέλεσή του με ένα ψεύτικο μήνυμα σφάλματος
- Εάν οι χρήστες εντοπίζουν τη wscript.exe διαδικασία στο Task Manager (Διαχείριση Εργασιών) και προσπαθήσουν να τερματίσουν αυτή τη διαδικασία, το script εκτελεί μια εντολή CLI που τερματίζει αμέσως τον υπολογιστή τους
- Όταν ο χρήστης κάνει επανεκκίνηση του υπολογιστή του, εξαιτίας του “Start” script στο Startup μενού, το κακόβουλο JS λογισμικό αρχίζει να λειτουργεί ξανά από την αρχή.
“Εάν καταλήξετε με αυτό το script στον υπολογιστή σας, μπορείτε εύκολα να απαλλαγείτε από αυτό, κάνοντας εκκίνηση σε Safe Mode (ή με το να συνδεθείτε σε έναν άλλο λογαριασμό), αφαιρώντας τον σύνδεσμο εκκίνησης και τον roaming φάκελο”, γράφει ο Darryl, ειδικός της Kahu Security. “Αν θέλετε να αναλύσετε το script, ενώ τρέχει, τότε απλά μετονομάστε εργαλείο για την ασφάλεια σε κάτι καλόηθες.”
