E' in corso attualmente una campagna malware finalizzata alla diffusione dell'info stealer Agent Tesla (e non solo): la particolarità di questa campagna è che i cyber criminali hanno modificato una catena di exploit conosciuti per diffondere il malware senza attivare il rilevamento dei prodotti antivirus comuni.
Il gruppo dietro a questa campagna, attualmente non individuato, ha organizzato una precisa infrastruttura per diffondere più famiglie di malware tramite due exploit pubblici per le vulnerabilità di Microsoft Word CVE-2017-0199 e CVE-2017-11882.
Secondo gli analisti di Cisco Talos, la campagna è finalizzata alla diffusione di tre differenti payload: Agent Tesla, Loki e Gamarue. Tutti e tre sono capaci di sottrarre informazioni, ma solo Loki non ha funzionalità di accesso remoto.
Che cosa fanno questi malware?
- Agent Tesla è un infostealer, ovvero ruba le informazioni contenute nel sistema infetto ed è commercializzato come utilità legale di keylogging. In realtà le analisi dei ricercatori di Cisco hanno messo in evidenza come questo tool abbia funzioni di furto password per app molto comuni come i borwser web e i clienti di posta più diffusi, gli FTP ecc...
- Il malware Loki ivnece rientra strettamente nella categoria keylogger, mira direttamente alle password.
- Gamarue invece è un track record utile per i gestori di botnet, perchè segnala nuovi possibili bot. E' un worm, quindi si diffonde rapidamente nei sistemi vulnerabili garantendo l'accesso al proprio operatore. Come funzione secondaria, anche Gamarue può rubare informazioni sensibili.
Il vettore di attacco:
l'attacco inizia con una email contenente un file Word in formato .docx. Questo file include routine per il download e l'apertura di un file RTF che distribuisce il payload finale. E' proprio questo file RTF che passa del tutto inosservato agli antivirus.
Le modifiche per l'evasione dagli antivirus:
i ricercatori sono convinti che le modifiche alla catena di exploit consentano al documento contenente le routine di scaricare i malware passando inosservati alle normali soluzioni antivirus. Questa particolare capacità di invisibilità del payload dipende dalle particolarità del formato RTF, che supporta oggetti integrati via OLE (Object Linking and Embedding) e usa un gran numero di parole di controllo per definire il contenuto che detiene. Aggiungiamo a questo che i parser RTF comuni ignorano, in genere, ciò che non conoscono e si capisce la combinazione perfetta per nascondere il codice di exploit.
In questo caso, la prima difesa e non modificare le impostazioni di Microsoft Word e non fare clic su qualsiasi messaggio sconosciuto, che potrebbe in realtà attivare l'exploit.
In questo caso, la prima difesa e non modificare le impostazioni di Microsoft Word e non fare clic su qualsiasi messaggio sconosciuto, che potrebbe in realtà attivare l'exploit.
L'offuscamento entro la struttura dei file RTF non è l'unico fattore che aiuta questo documento a rimanere invisibile. Un'analisi più profonda ha rivelato che l'attaccante ha modificato i valori dell'header dell'oggetto OLE. Subito dopo l'header ha aggiunto dati che paiono simili a font tag, ma che in realtà sono l'exploit per la vulnerabilità di corruzione della memoria di Microsoft Office CVE-2017-11882. Per i ricercatori, questa tecnica di attacco è molto pericolosa, sia che le modifiche siano state effettuate manualmente o con un tool specifico.
 |
| Le info header modificate. Fonte: Cisco Talos |
Nessun commento:
Posta un commento