Da qualche giorno stanno girando delle mail infette che arrivano via PEC, e sempre più utenti mi chiedono se possono o meno aprirle.
Esamiamone una un po’ più da vicino.
La Mail
Il messaggio, che ci è stato girato da un nostro cliente, si presenta in questo modo:
Il fatto che ci sia un file zip come allegato sicuramente farebbe insospettire molti di voi, ma il fatto che arrivi via PEC, un canale di comunicazione ufficiale, ha fatto si che molti abbiano aperto l’allegato.
L’allegato
Aprendo l’allegato ci troviamo con un dentro un file .PDF ed un file .VBS, ma fino a qui non abbiamo fatto ancora alcun danno.
Aprendo il file con estensione PDF, viene detto che non è un pdf valido, questo per convincere l’utente a provare se quello sotto si apre. Probabilmente vi hanno detto di non aprire file con estensione EXE, ma purtroppo ne abbiamo altre di pericolose come: COM, JRE, BAT, PS1 e, ahimé, anche i file con estensione VBS, che stanno per Visual Basic Script, un noto linguaggio di programmazione.
Un CryptoLocker visto da vicino
In genere, lo studio dei veicoli di infezione informatica, lo facciamo in laboratorio, e poi ne forniamo i risultati. Questa parte la dedichiamo a tutti gli utenti un po’ esperti, che hanno voglia di capire, almeno in questo caso, come sarebbero andate le cose se avessimo fatto doppio click su file con estensione VBS. I file di questo tipo sono tranquillamente apribili con un editor di testo, come blocco note, in quanto le istruzioni sono scritte in chiaro. Per questo motivo, l’hacker di turno, inserisce nel proprio codice molti elementi di disturbo per fare si che il codice sia meno leggibile. Di fatto all’apertura, ci troviamo un insieme di righe di questo tipo:
Visto così, non ci dice nulla. Ma per noi, che siamo sviluppatori, risulta evidente che ci sono stringhe casuali precedute da un apice, che in visual basic vengono viste come righe di commento. Andiamo quindi a togliere tutte questi elementi di disturbo e vediamo cosa rimane:
Ad un occhio ancora più esperto risulta evidente che ci sono anche parecchie istruzioni volutamente errate. Il programma dell’hacker però esegue le istruzioni successive comunque, in quanto all’inizio della procedura c’è scritto “On error resume next”, ovvero in caso di errore riprendi dalla riga successiva. Eliminiamo anche queste e vediamo se capiamo cosa fa questo “bel” programmino:
E qui, per noi programmatori, risulta tutto chiaro. Il programma scarica dal sito dreamacinc.com un file, che apparantemente è un JPG, ma che viene rinominato come PS1, quindi come file eseguibile da Microsoft tramite PowerShell (presente in tutti i pc con Windows 7/10). Le righe precedenti ciclano per tutti i file del computer in questione e li fanno ripassare da questo file PS1 che quindi, con tutta probabilità, sarà un Cryptlocker. Abbiamo cercato di scaricare il file PS1, in quanto contiene senz’altro l’algoritmo di cifratura, ma il sito dreamacinc.com non è più accessibile, per cui, con molta probabilità, è stato fatto bloccare da qualche collega, o dall’hacker stesso, in quanto, da quel file, si può ricavare l’algoritmo di decifratura.
Buon informatica a tutti
Ing. Massimiliano Zuffi