In una serie di attacchi phishing esaminati da ReversingLabs, società esperta in sicurezza informatica, è stato scoperto AstraLocker 2.0. Si tratta di un pericoloso malware che viene distribuito direttamente tramite Microsoft Office, nello specifico Microsoft Word.
In altre parole, questo nuovo ransomware sfrutta come esca negli attacchi phishing dei file di Microsoft Office. La vittima, aprendoli come se fossero semplici documenti, dà libero accesso all’attaccante. Da quanto emerso sembra che chi sta diffondendo il malware in oggetto non sia molto qualificato.
Identificato per la prima volta nel 2021 – spiegano i ricercatori di ReversingLabs – AstraLocker è un fork di Babuk, ransomware utilizzato dall’omonimo gruppo di criminali informatici. Il gruppo Babuk gestiva una piattaforma Ransomware-as-a-Service (RaaS) e concedeva in licenza il suo software agli affiliati per eseguire attacchi.
Babuk è apparso per la prima volta all’inizio del 2021 ed è stato collegato a una serie di attacchi di alto profilo, tra cui un attacco ransomware e una fuga di dati contro il dipartimento di polizia della metropolitana di Washington DC nell’aprile 2021. A settembre del 2021, il gruppo Babuk è diventato esso stesso un bersaglio, quando il codice sorgente di Babuk è stato rubato e fatto trapelare a un forum di hacking russo.
Anche il malware AstraLocker è apparso nel 2021, in concomitanza con Babuk. AstraLocker 2.0 è stato visto per la prima volta nel marzo 2022.
Vediamo come si comporta questo nuovo ransomware diffuso tramite attacchi phishing in documenti Microsoft Word. Inoltre, scopriamo anche come possiamo difenderci per scongiurare un simile attacco e non mettere in pericolo i nostri dati.
Phishing: come agisce AstraLocker 2.0
Da quanto emerso nella ricerca di ReversingLabs, AstraLocker 2.0 viene diffuso tramite attacchi phishing nascosto nei documenti Microsoft Word. Il destinatario del file, contenuto come allegato nella mail, apre il documento dannoso e attraverso clic aggiuntivi attiva il ransomware incluso.
Sostanzialmente, facendo doppio clic sull’icona del documento, l’utente avvia un eseguibile incorporato denominato “WordDocumentDOC.exe“. Questo metodo però non è così efficace, per questo si pensa sia un attore malevolo non molto esperto.
Solitamente, maggiore è l’interazione della vittima e più probabile sarà la possibilità che ci pensi due volte prima di cadere nella trappola. Perciò, come hanno dichiarato i ricercatori di ReversingLabs:
Questo è uno dei motivi per cui gli oggetti OLE vedono un uso minore nella distribuzione di malware, rispetto al metodo di infezione delle macro VBA più popolare, che richiede solo all’utente di abilitare le macro per l’esecuzione.
Come agisce questo malware
Ma cosa succede una volta che AstraLocker 2.0 viene spacchettato e può agire indisturbato nel dispositivo della vittima avendo finalizzato il suo attacco phishing? I passaggi dell’attacco si possono sintetizzare in 6 fasi:
- arresta tutti i servizi di backup e i sistemi antimalware e di sicurezza, tra cui quindi gli antivirus;
- elimina tutti i processi che potrebbero interferire con la crittografia;
- elimina le copie shadow del volume;
- svuota il cestino;
- garantisce che la crittografia da lui eseguita avvenga su tutte le risorse raggiungibili;
- crittografa i file con l’algoritmo a curva ellittica Curve25519.
Il nostro consiglio è quello di attivare un sistema antivirus che includa anche funzionalità anti phishing e smishing. Questo eviterà sul nascere la diffusione di AstraLocker 2.0. Il migliore è Bitdefender che include anche una potente VPN e un password manager davvero molto utile.