Nel corso di svolgimento delle regolari attività di monitoraggio e analisi delle campagne di attacco nel cyber spazio italiano il CERT-Agid ha individuato per la prima volta in diffusione un nuovo malware, chiamato Hancitor. Il malware è stato osservato in distribuzione in due campagne diverse a tema Pagamenti: le email presentano un link che punta al download di un file .doc dotato di macro. Manco a dirlo, abilitare la macro attiva la catena di installazione di un altro malware, anche questo nuovo in Italia, ovvero FickerStealer. Hancitor quindi è un malware downloader che però, come dimostrato dalle analisi tecniche, è anche un infostealer.
Una nuova campagna di diffusione di Hancitor e FickerStealer risale al 21 Luglio e si differenzia dalle precedenti perché utilizza un allegato .XLS al posto di un DocuSign fake confermando la diffusione in Italia.
L'email vettore col falso file Docusign |
FickerStealer è l'ennesimo malware as a service (MaaS), metodo organizzativo e di "business" ormai ben collaudato e sempre più diffuso tra i cyber criminali: la sua comparsa risale al secondo semestre del 2020 circa, quando iniziarono a circolare nei forum dell'underground hacking i primi post e messaggi pubblicitari. Il gruppo che gestisce il malware ha anche creato e tiene attivi account e canali Telegram tramite i quali gli interessati possono ricevere informazioni sul malware e sulle modalità organizzative, ma anche ricevere supporto: insomma, è tutto organizzato come fosse un vero e proprio provider di servizi.
Un post "pubblicitario" del malware |
Stando a quanto affermato dagli autori è un malware scritto da zero, che cioè non ha estrapolato codice da altri malware ed è dotato anche di uno script bash che installa e configura in automatico il pannello di gestione del proprio server: i "clienti" così possono usare il malware senza disporre di infrastrutture particolari o server molto performanti, basta una macchina con CPU e 2 GB di RAM. Tali dati rendono chiaro quanto sia facile e accessibile questo "servizio".
Il servizio è ad abbonamento (dai 90 dollari per una settimana a 900 dollari per 6 mesi): questo, come ogni servizio che si rispetti, garantisce il supporto, anche quello per individuare un hosting adatto per l'installazione della console e per la gestione dei dati dei dispositivi compromessi.
Qualche info tecnica
Il Cert-Agid ha pubblicato un'approfondita analisi tecnica di questa nuova minaccia: rimandiamo al testo completo per i più curiosi, noi ne rendiamo alcuni tratti essenziali. A partire dal fatto che ogni versione che il builder genera viene cifrata con una chiave random: significa, in parole povere, che ogni sample del malware generato dal builder è differente dagli altri. Per ogni campagna, quindi, un sample diverso.
Il malware ha una propria lista di esclusione: esegue una verifica della lingua impostata sul sistema attaccato ed esclude, terminandosi senza alcuna conseguenza, su dispositivi in Russia, Bielorussia, Uzbekistan, Ucraina, Armenia, Kazakistan, Azerbaigian. E' quindi programmato e pensato per colpire in Occidente.
FickerStealer è, anch'esso, un infostealer che sottrae e conserva in memoria alcune informazioni sul dispositivo:
- processore;
- nome del prodotto;
- nome del computer;
- RAM;
- fuso orario;
- processi;
- altre info...
Fatte queste operazioni, decifra in memoria le stringhe che riguardano il server di comando e controllo: indirizzo IP, dominio e porta.
Questo termina le operazioni preliminari: il malware quindi si dedica al vero compito, ovvero rubare i dati degli utenti. In dettaglio cerca e ruba i cookie salvati sui browser, la cronologia e le credenziali di accesso di vari software e servizi (FileZilla, Steam, Discord, ThunderBird ecc..), ma anche wallet di criptovaluta.
Al link gli IoC già diffusi > IoC
Nessun commento:
Posta un commento