venerdì 1 febbraio 2019

Il trojan per il furto di credenziali Azorult si camuffa da Google Update e diventa invisibile


Azorult è una vecchia conoscenza: è un info-stealer, un trojan progettato per sottrarre informazioni e credenziali dai sistemi infetti.  E' pensato per estrarre più informazioni  e dati sensibili possibile da più fonti: file,  cookie, cronologia del browser per estrarre le credenziali bancarie e i dati dei Portafogli di criptovalute. E' un trojan in evoluzione continua, noto anche come downloader dei payload di altri malware in campagne di infezione organizzate in più fasi. Spesso è stato individuato in campagne che diffondono su vasta scala ransomware, altri info-stealer e malware per il mining di criptovaluta. 

Qualche giorno fa è stata individuata una nuova campagna di diffusione di Azorult: anziché usare la classica campagna di spam, gli autori di Azorult lo propongono come installer per i Google Update. Se un utente scarica ed esegue il Google Update fake, questo ottiene immediatamente la persistenza sul computer sostituendo l'Updater legittimo. 

Un certificato rubato per legittimare il falso Google Updater
Il binario di questo falso Google Updater, chiamato appunto GoogleUpdate.exe, ha una caratteristica insolita: è firmato con un certificato valido. Il dettaglio non è affatto secondario perchè questo stratagemma permette di bypassare tutti i livelli di sicurezza basate sulle firme di cui sono dotati tutti i software di sicurezza.  Solo un'accurata analisi ha permesso di andare oltre le apparenze e verificare che il file binario non è stato firmato con un certificato appartenente a Google, ma con uno rilasciato dalla "Sing Agile Content Design Limited".

Il certificato valido. Fonte: bleepingcomputer.com

Questo certificato è stato rilasciato il 19 Novembre e, da allora, è ancora valido nonostante sia già stato usato per firmare oltre un centinaio di diversi file binari, tutti spacciati per l'eseguibile di Google Update. 

Azorult ottiene la persistenza e i privilegi di amministrazione
Oltre a quella di rubare dati, il GoogleUpdate.exe dannoso dimostra una ulteriore capacità: si nasconde restando in bella vista. Nel dettaglio si sostituisce al Google Updater legittimo nella location :\Program Files\Google\Update\GoogleUpdate.exe. Questo consente anche al malware di eseguirsi con i privilegi di amministrazione e ottenere la persistenza usando meccanismi molto efficaci di invisibilità. 

Google, solitamente, impiega due task pianificate per l'update dei propri prodotti:
  • GoogleUpdateTaskMachineCore - che si esegue al login e una volta al giorno
  • GoogleUpdateTaskMachineUA - che si esegue una volta al giorno.

Ci sono anche altri due servizi che eseguono questo binario, come definito nei valori di registro:
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdatem\ImagePath
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\gupdate\ImagePath

Sostituendo alla perfezione il programma di update di Google, Azorult non ha alcun bisogno di procedere a modificare il registro di Windows o delle task pianificate. Si limita quindi a dirottare quelli già creati da Google, rendendo molto molto complessa la sua individuazione. 


Campagne recenti
Azorult è stato recentemente diffuso come payload per il famoso Exploit Kit Fallout, ma anche come parte di una campagna di cyber-ricatti a sfondo sessuale assieme al ransomware GandCrab. 

1 commento:

  1. Questo malware puo camuffarsi da Chrome.exe e sostituire l'originale nel percorso corretto?

    RispondiElimina