Ransomware Matrix verbreitet sich über bösartige Shortcuts

Die schon seit einiger Zeit nicht mehr aktive Erpressersoftware Matrix ist im Rahmen einer der letzten Kampagnen von EITest erneut аuf den Plan getreten. Der Forscher Brand Duncan von Palo Alto stieß auf einen Fall von Verbreitung über das Exploit-Pack RIG, obgleich Matrix früher weder bezüglich des Ausbreitungstempos noch des Verbreitungsausmaßes mit Erpressern wie Cerber und Spora vergleichbar war. Das machte den Experten hellhörig, der das Sample daraufhin genauer unter die Lupe nahm und darin die Fähigkeit zur Selbstverbreitung entdeckte.

Die neue Matrix-Version ist in der Lage andere Computer zu infizieren, indem sie sich mit Hilfe schädlicher Shortcuts ihren Weg von Maschine zu Maschine bahnt. Zudem kann sie auf den Angriffsserver Informationen über den Typ der von ihr verschlüsselten Dateien laden.

Der Schädling wird über kompromittierte Websites verbreitet, die mit dem EITest-Script infiziert sind. Sobald es auf dem Computer gelandet ist, lädt ein iframe das Exploit-Pack RIG, das daraufhin versucht, angreifbare Programme auszunutzen und Matrix zu installieren.

Um sich auf andere Computer im Netzwerk auszubreiten, versteckt Matrix während des Verschlüsselns der Dateien ein Verzeichnis und erstellt einen Shortcut mit demselben Namen. Dann kopiert der Schädling die ausführbare Datei des Erpresserprogramms und speichert sie als desktop.ini in dem ursprünglichen, bereits verborgenen Verzeichnis.

Beispielsweise könnte der Schädling den Ordner „Dokumente“ verbergen und einen entsprechenden Shortcut erstellen. Der Nutzer öffnet den Ordner und speichert darin nichtsahnend irgendwelche Dateien, da alles anscheinend ganz normal läuft. Währenddessen kopiert Matrix die Datei desktop.ini, bei der es sich aber tatsächlich um die ausführbare Datei der Ransomware handelt, in %Temp%\OSw4Ptym.exe und führt sie daraufhin aus. Auf diese Weise kann der Schädling über Netzwerkspeicher und mobile Speichermedien in andere Computer eindringen.

Die Forscher weisen zudem darauf hin, dass Matrix regelmäßig aktualisiert wird und jede neue Version sich in irgendwelchen Merkmalen unterscheidet, seien es die Erweiterungen der zu verschlüsselnden Dateien, die Kontakt-E-Mail-Adressen oder der Text der Lösegeldforderung. Die Experten nehmen an, dass Matrix sich auch weiterhin verändern wird.

Matrix kommuniziert sehr häufig mit dem Steuerungsserver und informiert ihn über den Verlauf des Verschlüsselungsprozesses. Der Schädling lädt Statistiken zu den Typen der zu verschlüsselnden Dateien auf den Server, wie es auch Spora tut und er erhebt je nach Typ der verschlüsselten Dateien unterschiedlich hohe Lösegeldforderungen.

Außerdem löscht Matrix die Shadow Volume Copies, um die Möglichkeit des Zurücksetzens und der Wiederherstellung des Systems in den Zustand vor der Infektion unmöglich zu machen.

In der Mitteilung, die nach Abschluss des Verschlüsselungsprozesses auf dem Bildschirm dargestellt wird, drohen die Erpresser damit, dass alle 12 Stunde, die ohne Zahlung des Lösegeldes verstreichen, sich dieses um 100 Dollar erhöht. Dem Opfer bleiben insgesamt 96 Stunden, bevor die Dateien – so die Drohung der Cybergangster – für immer gelöscht werden.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.