martedì 18 giugno 2019

Ursnif, il malware che minaccia l'Italia: vediamolo da vicino



Gli utenti italiani sono bersagliati, ormai da mesi, in maniera ciclica durante l'arco delle settimane, da ondate di email di spam che distribuiscono varianti differenti dello stesso malware: parliamo del trojan Usrnif. Ne abbiamo parlato qui e qui. Yoroi ha analizzato attentamente questo malware: il report completo è disponibile qui (in inglese). 

Noi ve ne rendiamo una versione breve, per punti, dato che questa minaccia continua a colpire utenti italiani e non sembra affatto che queste campagne malware avranno presto termine. 

Come si diffonde Ursnif
Come detto in molti articoli precedenti, Ursnif viene diffuso tramite campagne di spam massive rivolte contro utenti italiani. Le email recano con se un allegato, solitamente un archivio compresso .ZIP contenente, a sua volta, documenti Excel dannosi. Tali fogli di calcoli rappresentano il primo step, l'inizio della catena di infezione. Il documento Excel, una volta decompresso e aperto, richiederà l'abilitazione della macro per poter correttamente visualizzare il contenuto: la macro è compromessa e contiene il codice necessario per avviare il download del payload di Ursnif. 


Fonte: https://blog.yoroi.company

Come si vede nella foto esempio, il contenuto del file Excel è sfocato: in primo piano c'è un alert fake di Excel con l'invito espresso ad abilitare i contenuti. Il codice compromesso è nascosto nella cella A1: è uno script criptato in Base64. 

La macro recupera il contenuto dalla prima cella del documento e, successivamente, lo concatena con il contenuto delle sei righe sotto la prima: il prossimo step è l'esecuzione di una lunga serie di script offuscati su più livelli. 

E' in questa fase, molto complessa, che avviene anche la verifica di quale versione di Windows sia installata sulla macchina della vittima: il codice contiene appunto una condizione "if" dalla quale dipende quale "branca" della catena di infezione dovrà essere eseguita per quella specifica vittima. Se la versione installata sulla macchina bersaglio NON E' Windows 10, il malware eseguirà i contenuti di "OBFUSCATED PAYLOAD ONE".
Fonte: https://blog.yoroi.company

Il codice successivo, necessario per completare l'infezione, viene addirittura recuperato tramite il download di una particolare immagine PNG, ospitata in comuni piattaforme di condivisione delle immagini come imgbox.com. L'immagine contiene il codice powershell, ben nascosto con tecniche di steganografia. 

L'immagine stefanografata

Vi sono quindi altri step, che conducono a ben 6 payload concatenati. Uno di questi contiene, nella prima riga di codice, una condizione molto particolare: dopo aver recuperato la data corrente, ne estrae il campo relativo al mese (in questo caso Maggio) e lo compara con l'espressione regolare *gg*, tenendo di conto del formato della data. Questa verifica serve ad assicurarsi che l'utente bersaglio sia italiano e che il malware venga eseguito entro il tempo prestabilito di durata della campagna.

Al termine dei 6 step, si arriva al download i un payload PE32 da una location molto nascosta: il payload viene spostato in %TEMP% ed eseguito. 

Il Loader
In questo approfondimento viene analizzato un classico campione del loader DLL di Ursnif, che inietta il codice dannoso nel processo "explorer.exe". Il particolare campione analizzato da Yoroi viene scaricato dal server “loaidifds[.]club”. Il payload finale, infine, è un semplice file PE codificato in base64. 

Il Payload
Analizzando attentamente la libreria DLL, emerge che questa incorpora ben 3 diversi riferimenti C&C, due dei quali ancora attivi. 

L'infezione di Windows 10
Come indicato sopra, Ursnif verifica la versione del sistema operativo Windows in esecuzione sulla macchina della vittima e sceglie quale "branca" dell'infezione attivare. Quanto indicato sopra è ciò che accade, in breve, quando l'attacco è portato contro sistemi che non sono Windows 10. 

Anche in questo caso avviene il download di una DLL, il cui scopo è il download di una diversa immagine PNG contenente una serie di comandi anche in questo caso ben nascosti tramite steganografia. La tecnica è però diversa: il malware usa infatti un livello di criptazione AES. Sotto l'immagine PNG che viene scaricata dalla piattaforma postimg[.]cc

L'immagine staganografata

C'è qui un'ulteriore verifica della nazionalità della vittima: la chiave di decriptazione della criptazione AES infatti è generata a partire dalla proprietà LCID di "Cultureinfo", la struttura dati che fornisce informazioni su calendario, lingua e le impostazioni locali in uso nella macchina. 

Anche in questo caso ci sono ben 6 diversi stadi, tutti variamente offuscati o criptati, ma che conducono nei fatti al medesimo payload descritto nella sezione "Il loader".

Indicatori di compromissione
Per gli IOC rimandiamo alla parte conclusiva dell'analisi originale di Yoroi. 

Nessun commento:

Posta un commento