Nuovo attacco in corso (anche in Italia): il malware-kit combina trojan, miner e malware per il furto dati

Alcuni ricercatori di sicurezza hanno dato notizia di una pericolosissima campagna di attacco, già individuata svariate volte in Italia, Cina, Taiwan e Hong Kong:  parliamo di un vero e proprio "kit da attacco" composto da due trojan e un miner per la criptovaluta Monero, in diffusione via internet e rete in area locale. 

Il kit è stato scoperto casualmente, quando i ricercatori di Trend Micro hanno individuato un attacco molto strano, durante il quale si scaricavano nella cartella Windows file apparentemente casuali su computer aventi la porta 445 aperta e non aggiornata, quindi vulnerabile alla compromissione con l'exploit del protocollo SMB di Window Server. La vulnerabilità sfruttata è la MS17-010, già risolta nel 2017. 

L'accesso nell'host

L'infezione multi-stage usa il trojan INFOSTEAL.ADS per ottenere il "punto d'appoggio" iniziale per l'infezione, dopo aver eseguito con successo l'exploit sopra indicato: questo malware si connetterà a un server di comando e controllo e invierà ai suoi gestori numerose informazioni sull'host infetto. Riceverà indietro i comandi necessari al download e alla diffusione di ulteriori payload secondo le caratteristiche riscontrare sulla macchina infetta.

La seconda fase di infezione

Nella seconda fase, viene scaricata ed eseguita una versione compilata in Python del trojan MIMIKATZ:  questo trojan, finalizzato al furto di informazioni, scarica automaticamente un certo numero di moduli aggiuntivi per estrarre più dati possibili, nonché per cercare ulteriori macchine Windows nella rete da poter infettare sfruttando la stessa vulnerabilità.

Il componente MIMIKATZ scaricherà inoltre il modulo psexec di Python, usato poi per eseguire i comandi inviati da remoto: con questo modulo gli attaccanti scaricano sulla macchina infetta il tool Radmin (vedi sotto).  

Il miner di Monero

Lo stadio successivo è il download e l'esecuzione del payload criptato del miner di Monero: il comando viene inviato direttamente dagli attaccanti, tramite uno strumento di hacking chiamato Radmin che viene copiato sul sistema infetto nel corso della fase precedente. 

Perchè un kit così complesso?

I ricercatori che hanno diramato l'allarme spiegano che, a loro parere, i cyber criminali dietro a questo kit stanno sviluppando una complessa struttura modulare per infettare più sistemi possibili in futuri attacchi, sfruttando l' "escalation" dei privilegi, l'accesso da remoto e l'uso di credenziali rubate. Dato che l'infostealer è in grado di inviare informazioni molto dettagliate (account utente, porte aperte, specifiche del sistema) e data la capacità di installare il tool di hacking per le funzioni di gestione da remoto, questo kit mette gli attaccanti in condizione di poter avviare ulteriori attacchi  sulla stessa macchina anche in futuro. 

Si sospetta che gli attori dietro a questa minaccia siano "nuovi" sulla scena, dato che hanno utilizzato diversi strumenti gratuiti, come moduli opensource, exploit obsoleti e strumenti di hacking rintracciabili gratuitamente.

Indicatori di compromissione per Quick Heal

Quick Heal individua i seguenti file relativi a questa infezione:

1. Nome file: 

SVHOST.EXE  (MD5 - 59b18d6146a2aa066f661599c496090d)

Individuato come: Trojan.Fsysna

2. Nome File: 

svchost.exe (MD5 - 539fe169480ffd66765c1693f8ed0d7d)

Individuato come: Trojan.Trickster

3. Nome File:

AbyinsNb.exe (MD5 - 6983f7001de10f4d19fc2d794c3eb534)

Individuato come: Remoteadmin.Remoteexec

4. Nome File: 

taskmgr.exe (MD5 - d4e2ebcf92cf1b2e759ff7ce1f5688ca)

Individuato come: Trojan.Cloxer