mercoledì 18 marzo 2020

Campagna di distribuzione di Urnsif contro l'Italia: nuova catena di infezione


I ricercatori di Yoroi hanno pubblicato un alert relativo all'individuazione di una nuova campagna distribuzione del malware Ursnif rivolta esclusivamente contro utenti italiani. Campagne questo tipo contro utenti italiani non sono affatto nuove, anzi: gli esperti di Yoroi ne tengono traccia da mesi, così da poter analizzare eventuali evoluzioni nel codice del malware e nelle tecniche di infezione. 

L'ultima campagna individuata, attualmente in corso, si basa su un sito web italiano compromesso che funge da DropUrl: dato interessante è il fatto che è stato analizzato un uso piuttosto inusuale di Javascript, file batch e archivi SFX, tutti elementi che hanno migliorato non poco, purtroppo, la catena di infezione. 

Qualche dettaglio tecnico
L'analisi di Yoroi rivela che, al solito, tutto inizia con un documento MS Word compromesso, diffuso in allegato all'email. Una volta che il documento viene aperto, viene richiesto l'inserimento di una password.

Fonte: https://yoroi.company/blog/

Questo semplice passaggio ha un ruolo importante nella catena di infezione: proteggere un documento con una password è infatti un'efficace tecnica per l'evasione dei meccanismi di individuazione delle soluzioni antivirus. La conferma, spiegano da Yoroi, si ha verificando il tasso di individuazione del documento su Virustotal

Fonte: https://yoroi.company/blog/


Inserita la password corretta, il documento avvia la catena di infezione. Il primo passo è l'esecuzione di un file batch iniziale:

Fonte: https://yoroi.company/blog/
Nonostante sia offuscato, è intuibile individuare le azioni che verranno eseguite: lo script crea un nuovo file chiamato "pinumber.vbs", che viene "riempito" di istruzioni tramite la funzione "echo". Questo prepara il terreno alla prossima fase VBS. Lo script Visual Basic viene salvato in un percorso inusuale rispetto alle solite caNete di infezione, ovvero:
C:\DiskDrive\1\Volume\BackFiles\pinumber.vbs

I ricercatori fanno notare quanto sia rilevante la presenza del DropUrl, usato per il download delle componenti necessarie alla fase successiva di attacco. 

hxxp://tealex.]it/colorex/somatrex.]php

Lo script VBS scarica due oggetti ("WinHttp.WinHttpRequest.5.1" e "ADODB.Stream") che servono per garantire allo script il download da DropUrl dei componenti ulteriori che sono necessari. Siamo di fronte ad una infezione cosiddetta multistadio. In questo caso si può vedere come il DropUlr sia un sito web a tematica legale, compromesso in precedenza e adattato per installare una webshell e diffondere il malware tramite questa. 

Viene poi scaricato un altro file, che è un SFX, un Self Extracting Archive, che contiene alcuni file: si nota la presenza del file “driver3213.sys", che sembrerebbe essere un driver, ma solo in apparenza. Il file viene immediatamente rinominato in "plugin.rar" quindi estratto con l'uso della password Control.

Fonte: https://yoroi.company/blog/

Nel frattempo, lo script cancella i file precedentemente scaricati, ma non più necessari, "ripulendo" le tracce della catena di infezione. A questo punto entra un gioco un altro VBS, "silent.vbs", il cui unico scopo è lanciare il file "data.bat" estratto dall'archivio plugin.rar. Lo script bat avvia l'esecuzione del file "javagh.js" che, tra le altre cose termina il precedente .rar e rimuove il resto delle traccie rimuovendo tutti i file nella cartella “C:\ASPNET\Terminaled\”. Insomma, la catena di infezione prevede più fasi di cancellazione per lasciare meno tracce possibili della propria attività 

Siamo all'ultima fase della catena di infezione: il file JS ha integrati ben due payload, uno dei quali è quello di Ursnif.
Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).

Nessun commento:

Posta un commento