Che cos’è Malware Maktub Locker

Forse il titolo è troppo “ad effetto” o esagerato, ma è fedele all’immagine usata da Paul Ducklin di Sophos Security, che ha scoperto un nuovo problema informatico: in un articolo del blog, infatti, non riporta una sintesi troppo diversa per parlare di un nuovo tipo di virus che cripta i nostri dati, sfruttando una tecnica di ingegneria sociale abbastanza raffinata (“The ransomware attack that knows where you live“). È vero che la maggioranza delle mail di phishing, specie se siamo utenti informati e con esperienza, sono tutto sommato agevoli da riconoscere, proprio in base alla forma italiana dubbia, ad esempio, in cui sono espressi. In genere, infatti, tali e-mail restano sul generico, e si rivolgono a noi con un generico “gent. signor/signora“, ad esempio. Questo aspetto viene usato da molti come strategia di autodifesa per comprendere l’inganno fin da subito. Esiste pero’ un’eccezione considerevole: in questo caso, infatti, la strategia di inganno è molto sofisticata, poichè la mail di phishing si rivolge a noi direttamente, con dati anagrafici esatti (indirizzo di casa incluso) prelevati illecitamente, quasi certamente, mediante una tecnica nota come exfiltration (furto di dati informatici) o in alcuni casi dump di intere anagrafiche di siti web.

Maktub – questo il nome del virus che si diffonde in questa circostanza – sfrutta una mail ingannevole che si caratterizza per un aspetto molto insolito: riporta esattamente il nostro nome e cognome, assieme all’indirizzo di casa. Una volta scaricato il finto documento allegato, quindi, il nostro sistema operativo Windows viene infettato da un ransomware che blocca i nostri file impostando una password di sblocco molto complessa.

1. Modalità di Infezione

Maktub Locker veniva diffuso principalmente tramite email di phishing con allegati .zip contenenti file eseguibili mascherati da documenti legittimi, come fatture o avvisi di pagamento.

• Il file all’interno dell’archivio era spesso un file SCR (Screensaver) o EXE, camuffato da documento di testo o PDF tramite Unicode Right-to-Left Override (RTLO).
• Una volta aperto, l’eseguibile avviava il payload del ransomware senza richiedere privilegi amministrativi, sfruttando APIs Windows native.

2. Cifratura dei File

Maktub Locker utilizzava un sistema di cifratura ibrida, combinando RSA-2048 con AES-256, rendendo impossibile la decrittazione senza la chiave privata.

1. Generazione della chiave AES-256

   • Per ogni file, il ransomware generava una chiave AES casuale tramite l’API CryptGenRandom di Windows.
   • Il file veniva cifrato con questa chiave usando l’algoritmo AES in modalità CBC (Cipher Block Chaining).

2. Protezione con RSA-2048

   • La chiave AES-256 veniva poi cifrata con una chiave RSA-2048 pubblica, hardcoded nel ransomware.
   • La chiave privata per decifrare i file era custodita solo sui server degli attaccanti.

3. Rinominazione e marcatura dei file cifrati

   • I file cifrati venivano rinominati con un’estensione univoca, spesso del tipo .maktub.
   • Il ransomware aggiungeva metadati personalizzati per garantire che il sistema di decifrazione fosse compatibile solo con i file originali.

3. Persistenza e Antielusione

Per evitare il rilevamento e la rimozione, Maktub Locker implementava varie tecniche di evasion e persistence:

• Esecuzione fileless: una volta avviato, il ransomware si cancellava dall’hard disk e girava esclusivamente in memoria, riducendo le tracce lasciate nel sistema.
• Offuscamento del codice: il binario era compresso con tecniche di packing e obfuscation, rendendo difficile l’analisi statica.
• Disabilitazione di Windows Defender e Antivirus: il malware tentava di disabilitare servizi di sicurezza, modificando i valori nel registro di sistema:

Uno dei nomi di file diffusi in allegato è TOS-update-2016-Marth-18.scr (come segnalato dal sito BleepingComputer), mentre la schermata di blocco viene riportata di seguito per maggiore chiarezza.

Maktub Locker è un ransomware scoperto nel 2016, noto per la sua sofisticazione sia a livello di crittografia che di interfaccia utente. A differenza di molti ransomware dell’epoca, Maktub Locker non richiedeva una connessione Internet attiva per generare la chiave di cifratura, rendendolo più difficile da individuare e bloccare in tempo reale. Il suo codice era altamente ottimizzato e includeva un sistema di pagamento integrato, con una GUI curata e istruzioni dettagliate per il pagamento in Bitcoin.

Le vittime ricevevano il malware solitamente tramite email di phishing con allegati ZIP contenenti documenti falsificati (spesso bollette o notifiche ufficiali). Una volta eseguito, il ransomware cifrava i file della vittima e mostrava un messaggio di riscatto con una scadenza, dopo la quale l’importo richiesto aumentava.

Ricordiamo come sempre che non esiste, ad oggi, un modo sicuro per rimuoverlo  – per quanto qualche tentativo sia stato fatto – senza cancellare tutti i dati: è importante quindi fare sempre delle copie di sicurezza o backup degli stessi, ed evitare di cliccare link allegati anche se, come abbiamo visto, credibili o provenienti da mittenti noti o “sicuri” (fonte).

Photo by urbansnaps – kennymc