Il CERT-PA ha diramato stamattina un alert riguardante una campagna di email di spam che diffondono una nuova variante del malware Astaroth.
Astaroth: qualche dato tecnico
Astaroth è un malware finalizzato al furto di dati e credenziali di accesso: ha sia funzioni di spyware che di keylogger (registra cioè tutto ciò che viene digitato sulla tastiera della vittima), grazie alla struttura modulare che gli consente di aggiungere mano a mano funzioni diverse. Ne sono in diffusione diverse versioni, compresa una fileless che si esegue solo in memoria volatile ed è molto molto difficile da individuare. Individuato nel 2018, colpiva inizialmente solo vittime brasiliane, poi il malware venne impiegato in campagne di diffusione sempre più ampie.
La campagna in corso
In questa campagna le email di spam hanno tematiche varie e sono distribuite anche in diverse lingue. Sono però tutte accomunate dal fatto che contengono, in allegato, immagini in formato JPG e PNG oppure dei link che eseguono codice Javascript su Clouflare, una nota piattaforma di computing serverless. La maggioranza di queste comunque contiene il classico archivio .7zip che, a sua volta, contiene un file .INK che avvia la catena di infezione.
L'uso di Cloudflare garantisce al malware un buon livello di protezione da eventuali individuazioni da parte di soluzioni antivirus, almeno per quanto riguarda la scansione dell'allegato. Non solo: Cloudflare Workers garantisce anche il vantaggio di eseguire qualsiasi codice Javascript senza doversi preoccupare del mantenimento di una infrastruttura. Cloudflare Workers infatti permette l'esecuzione di script sui server Cloudflare da datacenter in 193 diverse città, in 90 diversi paesi: una infrastruttura piuttosto ampia, con zero costi di mantenimento.
E' sempre tramite Cloudflare poi che vengono distribuiti i vari tipi di payload, tutti in formato Json: tali payload variano a seconda della posizione della vittima e vengono scelti di volta in volta dagli attaccanti in base alla tipologia più efficace per la macchina delle potenziali vittime.
Fonte: CERT-PA |
Possiamo dire che questa campagna si articola complessivamente in tre stage. In dettaglio uno script viene salvato sul computer della vittima: ciò avviene tramite la pagina di editor di script della Dashboard di Cloudflare Workers. Questo script viene poi eseguito usando il processo legittimo Windows Script Host (Wscript), quindi viene scaricato il payload finale. Questo payload viene scaricato usando uno dei 10 collegamenti, unici e casuali, al nodo Cloudflare Worker. Su macchine a 32-bit, segno solitamente che il malware è approdato in una sandbox da analisi, viene invece usata una repository privata Google Storage con link statico: un accorgimento che consente di evitare l'individuazione della struttura su Cloudflare.
In ultima fase viene caricata una DLL il cui compito è quello di rimpiazzare i processi legittimi nel sistema, quindi una seconda DLL che comunica con i profili Facebook e Youtube sotto il controllo degli attaccanti: questo passaggi consente di ottenere gli indirizzi del server di comando e controllo.
Per questa campagna vi sono due accorgimenti fondamentali, per restare al sicuro: il primo è quello di prestare massima attenzione alle email, limitando al minimo il download e l'esecuzione di file allegati in email inattese o sospette (ma può essere utile anche l'uso di una sandbox). Il secondo accorgimento è quello di mantenere costantemente aggiornata la propria soluzione antivirus.
Nessun commento:
Posta un commento