venerdì 6 ottobre 2017

FormBook: il malware impiegato in una nuova campagna di furto dati


Sembra che i più sofisticati hacker abbiano modificato il modo di condurre le loro cyber operazioni mirate. Infatti, anziché investire sulle 0-day e sviluppare così i loro malware, alcuni gruppi di hacker hanno iniziato ad utilizzare malware preconfezionati come script kiddies. Questa, probabilmente, potrebbe essere una mossa molto intelligente per gli hacker sostenuti dagli stati, in modo da non essere facilmente identificabili.

I ricercatori hanno recentemente scoperto una serie di campagne di malware destinate principalmente al settore aerospaziale, a quello della difesa e a quello manifatturiero in diversi paesi: tra i quali figurano gli Stai Uniti, la Thailandia, la Corea del Sud e l’India. 

Cosa accomuna queste situazioni apparentemente così diverse? Il fatto che tutte queste campagne di attacco, condotte da vari gruppi di hacker, alla fine installano le stesse informazioni ed il malware di codifica della password, chiamato FormBook, sui sistemi mirati.

Cosa è FormBook?
FormBook non è solo un “malware-as-a-service”, uno dei malware più convenienti per quanto riguarda il furto di dati ed il form-grabbing (del quale si parla già dall’inizio del 2016).

Chiunque può affittare FormBook per soli 29 dollari a settimana o, in alternativa, 59 dollari al mese. Questo servizio offre una vasta gamma di funzionalità di spionaggio sulle macchine di destinazione,  tra cui keylogger,  password stealer, network sniffer, screenshot, furto di dati web e molto altro. 

Gli attaccanti, nel corso delle loro campagne, utilizzano principalmente campagne di posta elettronica al fine di distribuire il malware FormBook come allegato. Quest’ultimo può presentarsi sotto diverse forme: fra le quali vanno registrati anche i file PDF con collegamenti dannosi per il download, file DOC e XLS con macro dannose e file di archiviazione (ZIP, RAR, ACE, e ISO) contenenti i payload EXE.

E come avviene l'attacco
Il malware FormBook si copia in una nuova postazione. Il malware, in primo luogo, sceglie una delle seguenti sequenze da usare come prefisso per il nome del suo file di installazione:
ms, win, gdi, mfc, vga, igfx, user, help, config, update, regsvc, chkdsk, systray, audiodg, certmgr, autochk, taskhost, colorcpl, services, IconCache, ThumbCache, Cookies.

Poi genera da due a cinque caratteri casuali da aggiungere alla string precedente, seguita da un’estensione: 
.exe, .com, .scr, .pif, .cmd, .bat

Se il malware è in esecuzione con privilegi elevati, si copia su una delle seguenti directory:
  • %File di programma% 
  • % CommonProgramFiles%
Se si esegue con privilegi normali, si copia invece su altre directory:
  • %PROFILO UTENTE%
  • % Appdata%
  • % TEMP%
Il malware utilizza la stessa lista di string mostrata in precedenza, con una string casuale, per creare un prefisso. Aggiunge poi da uno a cinque caratteri casuali ed utilizza questo valore come nome del registro di sistema.

Il malware configura la persistenza - ossia la capacità dei dati di sopravvivere all'esecuzione del programma che li ha creati - su una delle due seguenti posizioni in base ai suoi privilegi:

(HKCU | HKLM) \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run;
(HKCU | HKLM) \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Policies \ Explorer \ Run.

Una volta installato sul sistema di destinazione, il malware viene inserito in vari processi ed inizia ad impossessarsi dei tasti, ad estrarre le password memorizzate ed altri dati sensibili da più applicazioni: tra cui Google Chrome, Firefox, Skype, Safari, Vivaldi, Q-360, Microsoft Outlook, Mozilla Thunderbird, 3D-FTP, FileZilla e WinSCP. 

Alcune caratteristiche …
FormBook invia continuamente tutti i dati rubati ad un server remoto di command & control (C2), che consente all’attaccante di eseguire altri comandi sul sistema infetto: inclusi i processi di avvio, arresto e riavvio del sistema oltre a consentire di rubare i cookie.

Una delle funzionalità più interessanti del malware è che legge il modulo ntdll.dll di Windows dal disco in memoria e richiama direttamente le sue funzioni esportate, rendendo inefficaci i collegamenti in modalità utente ed i meccanismi di monitoraggio API. Gli sviluppatori del malware hanno ribattezzato questa tecnica Lagos Island method.

FormBook avrebbe anche consentito di scaricare altre famiglie di malware, come ad esempio NanoCore, nel corso delle ultime settimane. Gli attaccanti possono inoltre servirsi dei dati raccolti con successo da FormBook per mettere in atto altre attività di natura criminale: quali il furto di identità, operazioni di phishing, frodi bancarie ed estorsioni.

Come difendersi?
Tuttavia FormBook non è né sofisticato né tantomeno difficile da identificare come malware. Pertanto il modo migliore per proteggersi da attacchi del genere è quello di mantenere un buon antivirus sui propri sistemi e di assicurarsi che sia sempre aggiornato. 

Nessun commento:

Posta un commento