Nella giornata di oggi il CERT-AGID ha pubblicato un alert riguardante una campagna di attacco, limitata all'ambito universitario italiano, ideata per veicolare il malware Lokibot. La comunicazione è una email che imita una comunicazione ufficiale di due atenei: una versione è camuffata da comunicazione dell'Università di Tor Vergata, l'altra invece dell'Università di Bologna. Nel primo caso il vettore di attacco è un allegato in formato .ZIP contenente l'eseguibile in doppia estensione, nel secondo caso invece la mail reca un allegato .XLS contenente una macro dannosa.
Lokibot è un malware non certo nuovo in Italia, ma del quale è forse interessante tratteggiare nuovamente il profilo tecnico, dato che sempre più spesso torna a colpire utenti italiani.
 |
| La falsa comunicazione dell'Università di Tor Vergata. Fonte: https://cert-agid.gov.it/ |
Lokibot: che cosa fa
Lokibot è prima di tutto un trojan infostealer: ruba informazioni e credenziali presenti sui dispositivi che riesce ad infettare, ma anche informazioni sul dispositivo, sul sistema, sulle configurazioni di rete. Per quanto non miri esclusivamente a credenziali bancarie, è classificato da alcuni esperti di sicurezza come trojan bacario, visto che ricerca, tra le altre info, credenziali di accesso all'home banking, ma anche ai wallet di criptovalute.
Diffuso spesso come allegato email, lo schema classico è un archivio contenente un eseguibile con doppia estensione. Come ladro di credenziali, si concentra sulle credenziali salvate nei browser (Firefox, Safari, Chroumium e derivati), sui server FTP e sui client SMTP ma ha anche funzionalità di keylogging che gli permettono di registrare tutte le battiture dell'utente. Ha inoltre la capacità di creare backdoor, usate spessissimo per installare ulteriori malware. Scritto per Windows, è stato poi adattato per funzionare anche sui sistemi Android. Tutte le informazioni raccolte sono inviate ad un server di comando e controllo: per queste comunicazioni utilizza il protocollo HTTP.
Lokibot: la catena di infezione
Per quanto abbia talvolta cambiato forma (nel Febbraio 2020 è stato individuato in diffusione camuffato da launcher del celebre videogioco Fortnite), la catena di infezione è piuttosto standard. L'allegato email archivio contiene un file, alcune volte in formato .exe altre volte invece è un file Office che richiede di attivare la macro contenuta per una corretta visualizzazione del contenuto del documento. La macro, pesantemente offuscata per eludere le soluzioni di sicurezza, solitamente scarica un primo pacchetto la cui funzione è solo quella di downloader di secondo stadio. Il payload di secondo stadio serve a scaruicare e decriptare Lokibot: è nel secondo stage che viene eseguita l'escalation di privilegi sul sistema e distribuito Lokibot.
Mitigazione
Gli IoC dell'ultima campagna sono disponibili sul sito del CERT. Le misure di mitigazione indicate dal CERT statunitense per questa specifica minaccia sono:
- mantenere aggiornati sia il motore antivirus che le firme dei virus;
- patchare e mantenere aggiornato il sistema operativo:
- disabilitare i servizi di condivisione file e stampanti oppure, se necessari, proteggerli con password solide o con l'autenticazione Active Directory;
- rafforzare l'autenticazione a due fattori, valutando l'autenticazione multi fattore;
- restringere il più possibile le permissioni ai vari utenti per installare o eseguire applicazioni software indesiderate. Non aggiungere utenti al gruppi di amministratori locali a meno che non sia strettamente necessario;
- approntare un sistema firewall che neghi qualsiasi richiesta di connessione indesiderata;
- disabilitare tutti i servizi non necessari su workstation e server;
- istruire i dipendenti e adottare soluzioni che abbiano solidi strumenti di monitoraggio degli allegati email e filtri antispam ecc..
Nessun commento:
Posta un commento