Tox και μπορείτε να δημιουργήσετε το δικό σας Ransomware! Η McAfee φέρεται να αποκάλυψε ένα πρωτότυπο κακόβουλο λογισμικό (malware) που λειτουργεί σαν Service! Το πρώτο Ransomware-as-a-service με το όνομα Τox είναι γεγονός! Το εκπληκτικό είναι ότι το Τox διανέμεται δωρεάν.
Οι ερευνητές της McAfee Labs ανακάλυψαν το Tox στις 19 Μαΐου ενώ σέρφαραν στο Dark Web. Σύμφωνα με την εταιρεία το κακόβουλο λογισμικό ενημερώθηκε στις 21 Μαΐου με FAQs και βελτιωμένο σχεδιασμό. Ο πυρήνας δεν άλλαξε.
Κυριότερα σημεία:
Το Τox είναι δωρεάν. Απλά πρέπει να εγγραφείτε στο site.
Το Τox χρησιμοποιεί TOR και Bitcoin. Αυτό επιτρέπει κάποιο βαθμό ανωνυμίας.
Το κακόβουλο λογισμικό λειτουργεί όπως διαφημίζεται.
Πως λειτουργεί όμως ένα Ransomware-as-a-service και συγκεκριμένα το Τox;
Μόλις εγγραφείτε στην ιστοσελίδα του “προϊόντος”, μπορείτε να δημιουργήσετε το δικό σας κακόβουλο λογισμικό σας σε τρία απλά βήματα.
- Εισάγετε το ποσό λύτρων, η ιστοσελίδα παίρνει σαν προμήθεια το 20% από τα λύτρα που θα ζητήσετε.
- Πληκτρολογήστε “την αιτία σας.” Θα πρέπει να αναγράψετε γιατί κλειδώσατε τον υπολογιστή του θύματος (πειρατεία, περιήγηση σε sites ενηλίκων, κατοχή πορνογραφικού υλικού κα.)
- Προσθέστε τους χαρακτήρες του captcha και είστε έτοιμοι.
Αυτή η διαδικασία δημιουργεί ένα εκτελέσιμο περίπου 2MB που μεταμφιέζεται σαν αρχείο .scr. Στη συνέχεια, οι “πελάτες” του Τox μπορούν να αρχίσουν να διανέμουν το malware, όπως επιθυμούν. Η ιστοσελίδα του Tox (από το δίκτυο TOR) θα παρακολουθεί τις εγκαταστάσεις αλλά και τα κέρδη. Για να αποκομίσετε τα κέρδη σας, μετά την καταβολή της προμήθειας, θα πρέπει να έχετε μια διεύθυνση Bitcoin.
Το κακόβουλο λογισμικό θα κρυπτογραφήσει όλα τα δεδομένα των θυμάτων του και θα τους ζητάει λύτρα.
Τεχνικές Πληροφορίες
Αν και εύχρηστο και λειτουργικό, το κακόβουλο λογισμικό φαίνεται να στερείται πολυπλοκότητας και αποτελεσματικότητας στον κώδικα. Ο προγραμματιστής ή οι προγραμματιστές φαίνεται να άφησαν πολλά strings που μπορούν να οδηγήσουν στον εντοπισμό τους.
Παραδείγματα:
- C:/Users/Swogo/Desktop/work/tox/cryptopp/secblock.h
- C:/Users/Swogo/Desktop/work/tox/cryptopp/filters.h
- C:/Users/Swogo/Desktop/work/tox/cryptopp/cryptlib.h
- C:/Users/Swogo/Desktop/work/tox/cryptopp/simple.h
Το κακόβουλο λογισμικό που δημιουργεί το Τox έχει γίνει compiled με MinGW και χρησιμοποιεί κρυπτογράφηση AES με Crypto++ library. Το Microsoft CryptoAPI χρησιμοποιείται για την παραγωγή κλειδιών.
Δεν περιμένουμε Τοξ να είναι η τελευταία του κακόβουλου λογισμικού να αγκαλιάσει αυτό το μοντέλο. Αναμένουμε επίσης πιο εξειδικευμένο ανάπτυξης και μεταβολές στις τεχνικές κρυπτογράφησης και της φοροδιαφυγής.
Θέλουμε να ευχαριστήσουμε τον Αλέξανδρο Matrosov της Intel Σύνθετη Απειλή Ερευνητική ομάδα για τη βοήθειά του με την έρευνα αυτή.