Il mondo digitale è minacciato da un nuovo ransomware. Questa volta usando il nome LooCipher allude alle sue capacità di cifratura (termine “Cipher”) e alla figura religiosa popolare, Lucifero. Nonostante il nome evocativo, le funzionalità di questo malware sono piuttosto semplici, non molto diverse da quelle appartenenti a molte altre famiglie di ransomware. Analizzando il codice ricercatori di sicurezza hanno trovato elementi che suggeriscono come possa essere una minaccia su larga scala. LooCipher usa un documento con macro e si diffonde attraverso e-mail infette che incorporano appunto documenti Office infetti, quindi si consiglia massima attenzione. Sono stati analizzati due diversi file di documento coinvolti per distribuire il ransomware, chiamati: “Info_BSV_2019.docm” e “Info_Project_BSV_2019.docm”. Entrambi i file hanno un design molto scarso e contengono una singola riga di testo che invita l’utente ad abilitare la macro. Esplorando il contenuto in profondità, sono stati recuperati il payload del codice il cui unico scopo è quello di scaricare il ransomware dal dropurl “pet / 2hq68vxr3f.exe” di hxxp: //hcwyo5rfapkytajg.onion ed avviarlo. L’autore inoltre non si è preoccupato di offuscare in alcun modo il codice ed anche alcune stringhe di commento come “// binary” e “// overwrite” ancora visibili. Il C2 è ospitato nella rete TOR, all’indirizzo “hxxp://hcwyo5rfapkytajg [.] Onion”, quindi il malware utilizza alcuni servizi che fungono da proxy tra Darknet e clearnet per eseguire facilmente le sue azioni, evitando l’installazione di Librerie TOR sulla macchina vittima. I servizi sono:
- https: //onion.pet
- https: //darknet.to/
- https: //onion.sh/
- http: //tor2web.xyz/
La richiesta inviata dal malware include informazioni come l’ID utente assegnato alla macchina vittima durante la fase di crittografia “u = rEui7jhIJk6SaRTyhL08N7h1Sft” e il suo indirizzo IP pubblico “i = xxx.xxx.xxx.xxx”. Il server C2 risponde specificando l’indirizzo BTC a cui l’utente dovrà pagare l’importo del riscatto richiesto, del tipo “BTC_ADDR: 16HDCwCuy2R5b7YFCmsidXzHQrvHmT7VHGG”. Al momento non esiste la cura.
