giovedì 24 settembre 2020

ASTesla: l'analisi del CERT-AgID sul nuovo malware per il furto dati diffuso in Italia

Come raccontato qualche giorno fa, tra i nuovi malware in diffusione in Italia, il CERT-AgID ha individuato quello che pare a tutti gli effetti un "parente" del già noto AgentTesla. Il nostro team di cyber sicurezza nazionale ha individuato per la prima volta questo nuovo malware in distribuzione in una email a tema DHL e scritta il lingua inglese: l'email conteneva un allegato dannoso con estensione .GZ dal nome DHL STATEMENT OF ACCOUNT – 1606411788.  Su questo malware il CERT-AgID ha pubblicato un apposito report consultabile qui: ne rendiamo i punti salienti. 

L'archivio è un file .RAR in realtà, che è effettivamente un formato più adatto a Windows: all'interno è contenuto un file eseguibile con lo stesso nome. L'immagine sotto mostra l'email oggetto di analisi da parte del CERT-AgID. 


Gli esperti hanno ribattezzato questo malware ASTesla perchè le analisi hanno indicato una forte somiglianza con AgentTesla. E' un malware molto insidioso perchè presenta controlli anti debugging, anti sandbox e anti Virtual Machine: l'unico dato positivo è che questi sono piuttosto obsoleti. Un altro dato positivo è che il malware presenta bassi livelli di offuscamento del codice, cosa che rende più semplice l'individuazione da parte delle soluzioni di sicurezza. 

ASTesla ha una catena di infezione composta da 4 blocchi ovvero inizializzazione, installazione, contatto col server di comando e controllo furto dati. 

1. Inizializzazione:
In fase di inizializzazione alcune istanze del malware, selezionate elencando i percorsi delle immagini di tutti i processi e confrontandole col proprio, vengono terminate nel caso in cui siano individuate. Vengono quindi recuperati il nome della macchina e dell'utente, quindi viene generato un ID univoco per quella macchina infetta composto da MD5(Seriale_Scheda_Madre || ID_CPU || MAC_address). Le informazioni sono ottenute da WMI (Windows Management Instrumentation). Viene anche avviato un timer che, ad intervalli di 30 secondi, verifica se il tempo passato dall'ultimo input dell'utente sia di almeno 10 minuti. Trascorsi i 10 minuti dall'ultimo input, l'utente è considerato assente quindi il malware sospende l'invio degli screenshot data l'inattività. 

2. Installazione:
In fase di installazione il malware viene copiato in un percorso prestabilito e aggiunto a 

Software\Microsoft\Windows\CurrentVersion\Run e SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\StartupApproved\Run
per potersi avviare automaticamente. 

L'installazione è comunque un passaggio opzionale che viene eseguito solo nel caso in cui il malware non sia già eseguito dal percorso configurato. E' stato notato come, in alternativa all'installazione, il malware possa copiarsi in un file temporaneo ed eseguirsi da lì. 

3. Comunicazione col server C2
Questa fase viene eseguita solo nel caso in cui l'esfiltrazione dei dati avvenga tramite HTTP verso un URL configurato. Per eseguire la richiesta HTTP il malware usa in alcuni casi TOR: il browser viene scaricato ed eseguito con funzione di proxy da locale. Tutte le richieste HTTP sono di tipo POST e contengono le seguenti informazioni:

  • ID Hardware;
  • data;
  • nome utente;
  • nome computer;
  • eventuali altre informazioni. 

Si avviano infine due timer: il primo invia un ping al server di comando e controllo ogni due minuti mentre il secondo verifica ogni minuto se viene ricevuto il comando di disinstallazione dal server C&C. 

4. Furto dei dati
ASTesla mira a 5 tipologie di dati 

  • cookie;
  • screenshot;
  • clipboard (il logo della clipboard è eseguito con SetClipboardViewer);
  • battiture sulla tastiera (funzionalità di keylogging con SetWindowsExHook);
  • informazioni generali sulla macchina infetta (nome della CPU, sistema operativo, RAM). 

e supporta 4 diversi metodi di esfiltrazione ovvero HTTP, FTP, email e Telegram. Per l'uso di Telegram come canale di esfiltrazione viene usato un bot. Gli screenshot, come detto, vengono eseguiti ogni X minuti ma sospesi se l'utente non risulta attivo. 

Le credenziali vengono sottratte dai molti software, per la lista completa rimandiamo al documento di approfondimento del CERT-AgID: segnaliamo solo i più comuni

  • Edge e Internet Explorer;
  • Edge Chromium;
  • Eudora;
  • OpenVPN;
  • FileZilla;
  • FTP Navigator;
  • Outlook;
  • Opera Mail;
  • NordVPN;
  • MySQL Workbench;
  • Opera Browser;
  • Chromium;
  • Brave Browser;
  • Firefox;
  • Thunderbird.

I cookie sono sottratti dai browser

  • Opera;
  • Brave;
  • Chrome;
  • Firefox;
  • Thunderbird. 

Nessun commento:

Posta un commento