Nuevo Ransomware con instalación persistente desarrollado en Node.js


Node.js es un entorno asíncrono para la capa del servidor (backend), de código abierto y multiplataforma en tiempo de ejecución, basado en el motor V8 de Google (motor para JavaScript, escrito en C++) y en el lenguaje de programación ECMAScript (basado en JavaScript con especificaciones de ECMA - estándar ISO 16262) con la característica I/O (entrada/salida) de datos en una arquitectura orientada a eventos.

Un analista experto se encontró con una incidencia bastante interesante, la misma es un malware que implementa ransomware (Software malicioso que encripta datos, secuestrandolos, con el fin de solicitar un rescate) basado en Node.js. Al analizar el malware en un entorno controlado, a simple vista se puede encontrar que la primera etapa del script no estaba ofuscado, lo que hace sospechar que el software malicioso es de momento, un prototipo o prueba.

La primera etapa del malware es la de comprobar si node.exe está ejecutándose, en caso de no estar instalado, comienza a descargar Node.js desde un enlace (URL) malicioso. Durante un tiempo de 40 segundos el malware entrará en un loop (repetición de una acción), con el fin de verificar si Node.exe ha sido descargado e instalado satisfactoriamente, en caso de que no cumpla la condición vuelve a repetir el proceso.

Una vez realizado con éxito la primera etapa, inicia la segunda etapa, en ella decodifica el ransomware, el cual es instalado y desplegado en una instancia local de Node.js, hasta generar un grupo de archivos en “%user%\AppData\Local”:

\GFp0JAk\lLT8PCI.js
\GFp0JAk\GFp0JAk.exe
\GFp0JAk\node_modules\graceful-fs\fs.js
\GFp0JAk\node_modules\graceful-fs\package.json
\GFp0JAk\node_modules\graceful-fs\graceful-fs.js
\GFp0JAk\node_modules\graceful-fs\legacy-streams.js
\GFp0JAk\node_modules\graceful-fs\polyfills.js

Además de agregar las siguientes llaves de registro para mantener la persistencia:
  1. oShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Microsoft Office", "wscript " & strVbs,"REG_SZ"
  2. oShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Startup",  strExe & " " & outWorkingDir & "\" & strEntPoint & " decryptStatic","REG_SZ"
  3. oShell.RegWrite "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\Windows", "cmd /c start  /min " & outWorkingDir & "\How-to-buy-bitcoins.html","REG_SZ"
La tercera etapa es depurar el código Node.js, donde se crea un archivo “initdone” y reseteando la estructura del escritorio, esto se realiza al ser eliminando la llave de registro “HKCU\Software\Microsoft\Windows\Shell\Bags\1\Desktop”.

Cabe destacar que el experto logró extraer un poco información del ransomware, en ella, se aprecia el tipo de cifrado, el cual es por medio de un par de claves una pública y una privada. Además del precio del rescate y la billetera BTC (Bitcoin).

Notificación del Ransomware


Desde Arkavia Networks recomendamos mantener sus aplicaciones, firewall y antivirus actualizados, además de realizar una revisión de mantenimiento cada cierto tiempo, con el fin de actualizar o eliminar cualquier aplicación que no esté utilizando.


Indicadores de Compromiso (IoC)

Hash (SHA-256)
90acae3f682f01864e49c756bc9d46f153fcc4a7e703fd1723a8aa7ec01b378c

URL
https[:]//nodejs[.]org/download/release/latest-v8.x/win-x86/node[.]exe

Billetera BTC
18aBKwKJvMCkZmpkcCbW9b9y9snAmU3kgo


Fuente

COMENTARIOS

Nombre

Actualizaciones,4,Adobe,1,Adware,3,AgentTesla,1,android,31,Antivirus,3,Apple,16,Apps,12,Arkavia Networks,13,asus,1,Ataques,5,Azure,2,Backdoor,4,Bancos,6,Bases de Datos,4,Bluetooth,1,Botnet,4,Botnet. Malware,1,Check Point,3,Chips,1,Chrome,2,Ciberataque,4,Cibercrimen,131,Ciberdelincuencia,4,ciberseguridad,112,Cisco,1,Citrix,3,Cloud,2,CMS,1,ComRAT,1,Comunicaciones,1,CookieThief,1,Coronavirus,1,COVID19,2,CPU,3,Criptomonedas,5,cyber day,2,Cyberwarfare,5,Dark Web,2,Data Breach,2,Data Leak,9,Datos,2,DDoS,4,Deep Web,5,dlink,1,DNS,1,Domains,1,Ecommerce,2,Emotet,1,Empresas,113,enrutadores,1,Estadisticas,1,Eventos,5,Exchange,2,exploit,5,Exploits,11,Extensiones,1,Extensions,1,F5 Networks,1,Facebook,8,Firewall,1,Firmware,2,Framework,1,Gmail,1,GoDaddy,1,google,31,Hacking,83,Hardware,7,Hosting,3,IBM,1,Industria,10,Infostealer,2,Instagram,2,Intel,2,Internacional,40,Internet,34,Investigacion,9,ios,5,IoT,4,ipad,1,iphone,1,ISO,1,Linux,7,Malware,37,Malwares,32,MFA,1,Microsoft,32,Mirai,1,MSP,1,Mukashi,1,Nacional,10,NAS,1,Negocios,2,Netgear,1,Node.js,1,Openwrt,1,Oracle,2,OS,9,Passwordless,1,Payload,2,Paypal,1,phishing,14,Plugins,1,Protocolos,12,Python,1,Ransomware,14,RAT,1,RCE,1,RDP,1,Recomendaciones,15,Redes,30,redes sociales,12,Redhat,1,Remoto,1,Rootkit,1,Routers,2,RRSS,2,Salt,1,Salud,2,Servicios,5,Smartphones,29,SMB,3,Software,23,Sophos,1,Spamhaus,1,Spyware,11,SQL,1,SSL,1,Teams,1,Tplink,1,Trickbot,1,Trojan,1,Troyano,2,Update,4,updates,22,Videoconferencia,1,VPN,3,Vulnerabilidad,19,Vulnerabilidades,71,Web,6,WhatsApp,4,wifi,5,Windows,12,Wordpress,4,XG,1,zeroday,2,Zoom,2,
ltr
item
Arkavia Networks News: Nuevo Ransomware con instalación persistente desarrollado en Node.js
Nuevo Ransomware con instalación persistente desarrollado en Node.js
https://1.bp.blogspot.com/-2AaWv1CERWI/Xg4Wu91uxlI/AAAAAAAABy0/PBon6Pmr5i8IKfovaBRyWd1XdowBOXJhwCLcBGAsYHQ/s640/Ransomware%2Bbased%2BNode.jpg
https://1.bp.blogspot.com/-2AaWv1CERWI/Xg4Wu91uxlI/AAAAAAAABy0/PBon6Pmr5i8IKfovaBRyWd1XdowBOXJhwCLcBGAsYHQ/s72-c/Ransomware%2Bbased%2BNode.jpg
Arkavia Networks News
https://www.arkalabs.cl/2020/01/nuevo-ransomware-con-instalacion.html
https://www.arkalabs.cl/
https://www.arkalabs.cl/
https://www.arkalabs.cl/2020/01/nuevo-ransomware-con-instalacion.html
true
7213111567211435179
UTF-8
Se han cargado todas las publicaciones No se ha encontrado ninguna publicación. Ver Todos Leer Noticia Responder Cancelar Respuesta Eliminar Por Inicio PÁGINAS ENTRADAS View All RECOMENDADO PARA TI ETIQUETA ARCHIVOS BUSQUEDA TODAS LAS ENTRADAS No se ha encontrado ninguna coincidencia de publicación con su solicitud. Volver al Inicio Sunday Monday Tuesday Wednesday Thursday Friday Saturday Sun Mon Tue Wed Thu Fri Sat January February March April May June July August September October November December Jan Feb Mar Apr May Jun Jul Aug Sep Oct Nov Dec just now 1 minute ago $$1$$ minutes ago 1 hour ago $$1$$ hours ago Yesterday $$1$$ days ago $$1$$ weeks ago more than 5 weeks ago Followers Follow THIS PREMIUM CONTENT IS LOCKED STEP 1: Share. STEP 2: Click the link you shared to unlock Copy All Code Select All Code All codes were copied to your clipboard Can not copy the codes / texts, please press [CTRL]+[C] (or CMD+C with Mac) to copy