I ricercatori di Yoroi hanno pubblicato un alert relativo all'individuazione di una nuova campagna distribuzione del malware Ursnif rivolta esclusivamente contro utenti italiani. Campagne questo tipo contro utenti italiani non sono affatto nuove, anzi: gli esperti di Yoroi ne tengono traccia da mesi, così da poter analizzare eventuali evoluzioni nel codice del malware e nelle tecniche di infezione.
L'ultima campagna individuata, attualmente in corso, si basa su un sito web italiano compromesso che funge da DropUrl: dato interessante è il fatto che è stato analizzato un uso piuttosto inusuale di Javascript, file batch e archivi SFX, tutti elementi che hanno migliorato non poco, purtroppo, la catena di infezione.
Qualche dettaglio tecnico
 |
| Fonte: https://yoroi.company/blog/ |
Questo semplice passaggio ha un ruolo importante nella catena di infezione: proteggere un documento con una password è infatti un'efficace tecnica per l'evasione dei meccanismi di individuazione delle soluzioni antivirus. La conferma, spiegano da Yoroi, si ha verificando il tasso di individuazione del documento su Virustotal
 | |
Inserita la password corretta, il documento avvia la catena di infezione. Il primo passo è l'esecuzione di un file batch iniziale:
|
 | |
|
Nonostante sia offuscato, è intuibile individuare le azioni che verranno eseguite: lo script crea un nuovo file chiamato "pinumber.vbs", che viene "riempito" di istruzioni tramite la funzione "echo". Questo prepara il terreno alla prossima fase VBS. Lo script Visual Basic viene salvato in un percorso inusuale rispetto alle solite caNete di infezione, ovvero:
C:\DiskDrive\1\Volume\BackFiles\pinumber.vbs
I ricercatori fanno notare quanto sia rilevante la presenza del DropUrl, usato per il download delle componenti necessarie alla fase successiva di attacco.
hxxp://tealex.]it/colorex/somatrex.]php
Lo script VBS scarica due oggetti ("WinHttp.WinHttpRequest.5.1" e "ADODB.Stream") che servono per garantire allo script il download da DropUrl dei componenti ulteriori che sono necessari. Siamo di fronte ad una infezione cosiddetta multistadio. In questo caso si può vedere come il DropUlr sia un sito web a tematica legale, compromesso in precedenza e adattato per installare una webshell e diffondere il malware tramite questa.
Viene poi scaricato un altro file, che è un SFX, un Self Extracting Archive, che contiene alcuni file: si nota la presenza del file “driver3213.sys", che sembrerebbe essere un driver, ma solo in apparenza. Il file viene immediatamente rinominato in "plugin.rar" quindi estratto con l'uso della password Control.
 |
| Fonte: https://yoroi.company/blog/ |
Siamo all'ultima fase della catena di infezione: il file JS ha integrati ben due payload, uno dei quali è quello di Ursnif.
Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).
Per approfondire >> Ursnif, il malware che minaccia l'Italia: vediamolo da vicino
Nessun commento:
Posta un commento