Kransom ransomware se esconde dentro del juego StarRail mediante la descarga de DLL y un certificado legítimo de COGNOSPHERE PTE LTD. Este malware evade la detección y entrega una carga útil cifrada. Analízalo en el sandbox interactivo de ANY.RUN.
Los investigadores de ANY.RUN descubrieron que el ransomware Kransom estaba disfrazado de juego para evitar la detección. El malware utiliza un certificado legítimo de COGNOSPHERE PTE LTD para ejecutar su carga útil con descarga de DLL. Esto último añade una capa adicional de engaño al ataque.
Descripción general del ransomware Kransom
Flujo de ejecución de ransomware
El ransomware Kransom está hábilmente disfrazado dentro del juego StarRail, que es un software legítimo que se utiliza como tapadera para engañar a los usuarios. El malware se basa en un archivo DLL almacenado en el mismo directorio que el juego, que contiene código ransomware cifrado.
Este es un caso clásico de descarga de DLL, donde un ejecutable legítimo carga una DLL maliciosa y el ransomware secuestra el flujo de ejecución.
certificado legítimo malicioso
Uno de los elementos más engañosos de Kransom es el uso de certificados genuinos de COGNOSPHERE PTE LTD. El uso de certificados confiables permite que el malware eluda muchas medidas de seguridad tradicionales porque el sistema reconoce el software como inofensivo.
Los certificados válidos se muestran en ANY.RUN
Sin embargo, una vez que el archivo ejecutable carga StarRailBase.dll, realiza acciones maliciosas y lanza un ataque de ransomware.
Cómo funciona el ransomware Kransom
Para observar el ransomware Kransom en acción, cargue muestras de este malware en un entorno limitado de malware como ANY.RUN. El sandboxing permite a cualquiera realizar un análisis completo del malware, desde las primeras etapas de su proceso de ejecución hasta la finalización de su carga útil.
El juego StarRail legítimo actúa como una máscara para el ransomware y no puede funcionar sin el archivo malicioso StarRailBase.dll. Esta DLL contiene la carga útil cifrada del ransomware y se ejecuta mediante el archivo EXE del juego.
Actividades maliciosas realizadas por el archivo DLL ANY.RUN
Cabe señalar que el juego StarRail desarrollado por HoYoverse es completamente seguro cuando se usa tal cual. Sin embargo, Kransom aprovecha la estructura del juego para insertar código malicioso en la misma carpeta, lo que dificulta que los usuarios noten algo inusual.
El código de ransomware dentro de la DLL está cifrado mediante XOR, lo que dificulta su detección. Herramientas como ANY.RUN pueden ayudar a los analistas de seguridad a descubrir qué se ha sometido a XOR, proporcionando información importante sobre el contenido malicioso.
XOR-URL mostrada en el entorno limitado ANY.RUN
Cuando se inicie el ransomware, los usuarios verán un mensaje similar al siguiente: “Parece que nos hemos topado con un problema. Envíe un correo electrónico a hoyoverse para obtener una solución”.
Nota de rescate analizada en el sandbox de ANY.RUN
Puede realizar un análisis más completo de este malware buscando muestras adicionales con la herramienta TI Lookup de ANY.RUN.
Ejemplo de búsqueda de TI para ANY.RUN
Pruebe ANY.RUN Sandbox gratis
Para analizar sus propias muestras de malware y phishing en un entorno de VM Windows 10 x64 o Linux totalmente interactivo, cree una cuenta ANY.RUN gratuita mediante correo electrónico.
El entorno limitado en la nube de ANY.RUN le permite trabajar con archivos, URL y sistemas como si estuviera usando una computadora normal. También puede descargar archivos adjuntos, resolver CAPTCHA e incluso reiniciar todo el sistema durante el análisis.
Para funciones avanzadas como el modo privado y herramientas de colaboración, puede solicitar una prueba gratuita de 14 días directamente desde el sitio web oficial de ANY.RUN.
Temas relacionados
Análisis de los principales ladrones de información: Redline, Vidar, Formbook El nuevo ransomware bloquea archivos y pide a las víctimas que jueguen al juego PUBG. Este ransomware indica a los usuarios que jueguen un juego japonés. Eso es. La plataforma en la nube PythonAnywhere se explota para alojar el ransomware. El nuevo ransomware pide a los usuarios que jueguen mientras cifran datos
Fuente: