RAA – Ransomware komplett in JavaScript

Die Forscher von Bleeping Computer haben die Ergebnisse ihrer Analyse der Ransomware RAA vorgestellt, die ausschließlich in JavaScript programmiert ist. Laut Aussage des Autors des entsprechenden Blogposts, Lawrence Abrams, wird die neue Erpressersoftware über schädliche E-Mail-Anhänge verbreitet, die als Word-Dokumente getarnt sind.

Erstmals entdeckt wurde RAA von den IT-Sicherheitsforschern @JAMES_MHT und @benkow_, die ihren Fund auf Twitter bekanntgaben. Da JavaScript in der Standardumsetzung nicht über fortschrittliche kryptografische Funktionen verfügt, nutzten die Autoren des Schädlings die Möglichkeiten von CryptoJS, einer Bibliothek mit offenem Quellcode, die solche Algorithmen enthält, wie AES, DES usw.

Im gegebenen Fall verschlüsselt RAA die Dateien der Opfer mit einem AES-Schlüssel mit einer Länge von 256 Bit. Obendrein installiert er eine Variante des Passwort-Diebes Pony, die in Form eines mit base64 kodierten Strings in die JS-Datei integriert ist.

„Attacken auf der Grundlage von JavaScript werden zunehmend beliebter, doch bei den meisten Erpresser-Schädlingen handelt es sich um kompilierten Code“, erklärte Abrams in einem Interview mit Threatpost am vergangenen Dienstag. „Ich glaube, die zu verzeichnende Zunahme von Installern auf JS-Basis ist dadurch zu erklären, dass sie einfacher zu programmieren und zu testen sind.“

„Die Virenschreiber wenden auch Obfuskation an, wodurch die Analyse mit Virenscannern erschwert wird; so wird diese JS-Datei zum gegenwärtigen Zeitpunkt beispielsweise mit einem Ergebnis von 6 aus 44 detektiert“, ergänzte der Experte unter Berufung auf VirusTotal (seither hat sich das Verhältnis geändert).

Wie auch viele seiner „Gesinnungsgenossen“, verschlüsselt RAA Bilder, Word- und Excel-Dokumente, Photoshop-Dateien, .zip- und .rar-Archive und lässt dabei die Dateien Program, Windows, AppData und Microsoft unberührt. Am Ende jeder verschlüsselten Datei wird die Erweiterung .locked angehängt. Die Lösegeldforderung ist in russischer Sprache verfasst; der Nutzer wird aufgefordert, die in der Mitteilung angegebene ID an die E-Mail-Adresse @keemail.me zu schicken, zur Probe einige Dateien zu dechiffrieren und – nachdem er sich von der Funktionsfähigkeit des Decodierers überzeugt hat – 0,39 Bitcoin (etwa 250 Dollar) an die Betreiber von RAA zu überweisen.

Bisher ist noch unklar, wie erfolgreich dieses Projekt tatsächlich sein wird. Innerhalb weniger Tage öffneten laut Abrams 65 Nutzer die schädliche JS-Datei, seitdem wurde der C&C-Server von RAA allerdings offline genommen.

Anfang des laufenden Jahres entdeckte Fabian Wosar von Emisoft einen analogen Ransomware-Schädling, der mit Hilfe von Node.js erstellt und in eine ausführbare Datei gepackt war. RAA ist allerdings der erste, den Forschern bekannte Ransomware-Schädling, der als Standard-JS-Datei ausgeliefert wird.

Quelle: Threatpost

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.