martedì 15 dicembre 2020

Anatomia di FormBook, uno dei malware infostealer più diffuso in Italia

E' un nome ricorrente: rimbalza in ognuno dei report che, settimanalmente, il CERT-AgiD pubblica ricostruendo e dettagliando le campagne dannose attive di settimana in settimana nel cyber spazio italiano. Parliamo di FormBook, un malware in diffusione da anni e che ha una funzionalità principale, ovvero quella di infostealer, furto informazioni e dati. E anche un cosiddetto "form grabber" quei malware pensati per rubare le informazioni che gli utenti inseriscono in form di login, di contatto e di pagamento. 

E' un malware as a service, ovvero un servizio malware online tramite il quale utenti malintenzionati possono affittare il malware e distribuirlo, gestendolo tramite la dashboard del servizio: si, proprio come fosse un servizio professionale ad abbonamento. Gli autori non vendono il malware in se, ma il suo pannello tramite il quale viene generato il file eseguibile. 

Dashboard, prezzi, informazioni dal servizio FormBook. Fonte: www.fireeye.com

Dettagli tecnici
Il malware funziona per iniezione: inietta se stesso in vari processi di sistema e installa funzionalità per il log delle battiture sulla tastiera (keylogging), per il furto dei contenuti degli appunti, per estrarre dati dalle sessioni HTTP e HTTPS: comunica costantemente col proprio server di comando e controllo e riceve da esso comandi per eseguire funzionalità specifiche utili sulla macchina infetta, per avviare determinati processi, per spegnere o riavviare il sistema, per rubare cookie e password locali. 

Una delle caratteristiche più interessanti di questo malware è la sua capacità di leggere il modulo di Windows ntdll.dll dal disco nella memoria e chiamarne direttamente le funzioni esportate, rendendo inefficaci il meccanismo di monitoraggio delle API e lo user-mode hooking. Una tecnica chiamata "Lagos Island method" che, stando a quando dichiarato dai suoi autori, deve il nome ad un rootkit omonimo). 

E' dotato anche di un metodo di persistenza che prevede un continuo cambio random di percorso, nome file, estensione del file e chiavi di registro usate per la persistenza stessa. 

Le funzionalità principali
Come detto FormBook cerca di rubare dati, ma ad esempio non ha alcuna funzionalità che miri ai dati bancari: non è possibile cioè definirlo come banking malware. Le principali funzionalità sono:

  • keylogging;
  • monitoraggio degli appunti;
  • furto di dati dai form in HTTP / HTTPS / SPDY, HTTP2 e delle richieste di rete;
  • furto password dai browser e dai client email
  • screenshot. 

Dal proprio server di comando e controllo, può ricevere ulteriori istruzioni tra le quali:

  • aggiornamento del bot sul sistema host;
  • download ed esecuzione di ulteriori file;
  • rimozione del bot dal sistema host;
  • esecuzione di comando tramite ShellExecute;
  • furto dei cookie del browser;
  • riavvio del sistema;
  • arresto del sistema;
  • download e estrazione di archivi .ZIP. 

Infrastruttura: qualche dettaglio 
I domini di comando e controllo (C2) sfruttano, in genere, domini di primo livello generici e poco diffusi come .site, .website, .tech, .online, info. Nelle campagne recenti, i domini usati sono stati tutti registrati utilizzando il servizio di protezione privacy WhoisGuard. Ogni server ha, in generale, ha installazioni del pannello multiple, cosa che potrebbe indicare che FormBook si basi sul modello affiliativo. 

Informazioni di installazione
Il malware è un file RAR autoestraente che avvia un loader Autolt. Il loader compila ed esegue lo script Autolt, che decripta il file payload di FormBook, lo carica nella memoria, quindi lo esegue. Il malware a questo punto copia sé stesso in una nuova location. Se il malware p eseguito con alti privilegi di amministrazione, si copierà in una delle seguenti directories:

  • %ProgramFiles% 
  • %CommonProgramFiles%

Se invece viene eseguito con privilegi normali, copia sé stesso in una delle seguenti directories:

  • %USERPROFILE%
  • %APPDATA%
  • %TEMP%

FormBook configura la persistenza in una delle seguenti location, a seconda dei privilegi coi quali viene eseguito:

  • (HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  • (HKCU|HKLM)\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Come ogni malware che si rispetti, anche FormBook è dotato di alcune accortezze per impedire a ricercatori ed analisti di "intrappolarlo" in qualche honeypot o debuggarlo, comprese ben 3 blacklist: una per i moduli, una per i processi e una per gli username. 

Le campagne di distribuzione
Come stiamo vedendo in Italia ormai da mesi, FormBook viene distribuito tramite campagne email  contenenti allegati dannosi di vario formato, ma i più comuni sono:

  • PDF contenente un link accorciato col servizio "tny.im", che reindirizza ad un server che contiene il payload di FormBook;
  • allegati DOC e XLS, contenenti macro dannose che, se abilitate, eseguono il download del payload di FormBook;
  • allegati ZIP, RAR, ACE, ISO che contengono direttamente l'eseguibile di FormBook. 

Nessun commento:

Posta un commento