giovedì 24 febbraio 2022

sLoad: l'approfondimento del CERT sul malware che colpisce solo in Italia (via PEC)

Il CERT ha reso pubblico qualche giorno fa un importantissimo report sul malware sLoad. sLoad è in diffusione in Italia ormai da tempo e si contraddistingue per essere diffuso tramite campagne via email PEC. Il CERT collabora da qualche tempo con alcuni dei principali provider di servizi PEC italiani proprio nell'ottica di individuare, tracciare e quindi contrastare campagne dannose che dovessero transitare tramite un circuito come quello PEC che deve distinguersi necessariamente per sicurezza. 

Il report è da inquadrarsi proprio nell'ambito di queste attività di tutela e protezione del circuito PEC, dato che sLoad è veicolato esclusivamente tramite questo canale. Il report abbonda di dettagli tecnici che non renderemo nella loro totalità: tratteremo i punti salienti invitando a consultare il report completo disponibile sul sito istituzionale del CERT.

sLoad: biografia
sLoad è stato diffuso per la prima volta in Italia nell'Ottobre del 2018, anche se alcune fonti datano la prima individuazione nel nostro cyber spazio già nel Giugno 2018. In quel periodo circolava un report del ricercatore di sicurezza Vitali Kremez nel quale si affermava che fosse il malware bancario Ramnit il payload di sLoad. 

Per la maggior parte dei ricercatori è un malware pensato appositamente per colpire in Europa (Italia e Inghilterra in primis) ma è andato progressivamente a concentrarsi solo sull'Italia. Nell'osservazione delle campagne italiane non è mai stato individuato il malware Ramnit come payload di Sload, sottolinea il CERT. Si ipotizza quindi che il malware sia nato veicolando Ramnit in Inghilterra e che poi si sia focalizzato sul nostro paese sostituendo il payload. 

sLoad: come si diffonde?

Sul punto il CERT ha già pubblicato un report dettagliato: sLoad si diffonde esclusivamente tramite circuito PEC. In realtà, specifica il CERT, le prime campagne sLoad non transitavano via PEC, mentre è certa la data della prima campagna PEC, il 4 Giugno 2019. Da quel momento questo malware è girato solo tramite account PEC precedentemente compromessi e usati per l'invio massivo delle email dannose. 

La prima campagna via PEC fu mirata contro l'Ordine degli Ingegneri: evidentemente gli attaccanti avevano messo le mani su molti account PEC collegati all'Ordine e non ebbero remore a sfruttarli. Da quel momento il furto delle credenziali PEC deve aver avuto un certo successo se sLoad ha deciso di limitarsi a quel settore, unico malware ad averlo fatto. Infatti, ricordiamo, le funzionalità principali di sLoad sono due:

  • rubare credenziali di account PEC per realizzare ulteriori campagne;
  • accedere alle informazioni di home banking.

sLoad: la mail vettore
Gli esperti del CERT presentano nel report una email "tipo" di queste campagne. Ovviamente la quasi totalità di queste mira al settore bancario, quindi i temi principali sono pagamenti e fatture da pagare. 

Fonte: https://cert-agid.gov.it/

Inutile, forse, ribadire quanto una email simile risulti estremamente insidiosa e subdola, soprattutto alla luce del fatto che l'eventuale vittima si vede recapitare il messaggio da un account PEC quindi sicuro.

Queste email contengono allegati che poi, nel tempo, sono stati cambiati:

  • un file archivio .ZIP con al suo interno un file .LNK;
  • un file archivio .ZIP contenente a sua volta file .WSF, .VBS o PS1;
  • per un lungo periodo è stato usato un doppio archivio .ZIP.

Le campagne più recenti hanno visto il ritorno all'archivio .ZIP con file .WSF.

sLoad: qualche info tecnica

L'analisi sottostante riferisce ad un campione recente del malware, diffuso con lo schema archivio .ZIP con file .WSF.  Il file WSF estratto dall'archivio contiene, in forma molto offuscata, le istruzioni per il download del payloasd del malware: 

HTTPS://TUYTEHFAPP.EU/CAVE/<CF/PIVA>/NOVO.RTF in %APPDATA%\NOVO.RTF 

tramite BitsAdmin

Qui c'è la prima accortezza di autotutela del malware: i suoi sviluppatori hanno fatto in modo che i link utilizzati per il download del dropper siano usa e getta. In breve i link, una volta usati per il download, non possono essere utilizzati nuovamente. 

Una seconda misura di autodifesa del malware è che il backend di sLoad è in grado di rilevare le richieste che sono generate dal dropper e quelle che non lo sono. Succede quindi che se un ricercatore di sicurezza dovesse provare a scaricare il malware tramite strumenti diversi da quelli previsti dal malware stesso si vede blacklistare l'IP dal quale ha inviato la richiesta e il file viene segnato come non più scaricabile. Insomma, per ridurre al minimo la possibilità che il malware venga analizzato, i ricercatori hanno solo un tentativo a disposizione per campione.

Il dropper scarica uno script Powershell (PS1) ed è questo ad installare ed eseguire il core di Sload. Anche in questo caso parliamo di un file altamente offuscato. Si evince dal codice che sLoad si installa in APPDATA, creando una cartella dal nome random di 9 caratteri. La persistenza è garantita da una specifica task che inizia per S ed è seguita da un numero. 

Il che, però, rende facilmente rimuovibile il malware: basterà interrompere ogni processo Powershell oppure rimuovere tutte le task il cui nome inizia per S e sia seguito da un numero. 

sLoad: funzionalità dannose
Deoffuscando il codice emergono subito le funzionalità di Remote Access Trojan (RAT), in costante comunicazione con alcuni server di comando e controllo (C2). Tutte le operazioni di rete del malware sono effettuate tramite BitsAdmin (chiamate C2 comprese). Resta fermo il fatto che se vengono rilevate richieste C2 incompatibili con BitsAdmin l'IP che le effettua viene bloccato. 

Una volta che il malware trova un C2 valido dal quale ottiene risposta, inizia il suo "sporco mestiere" raccogliendo informazioni come:

  • la lista di cartelle condivise;
  • il numero di condivisioni tramite netview;
  • il nome della CPU e le specifiche del sistema operativo;
  • la lista dei file OST (file di dati) di Outlook in AppData\Local\Microsoft\Outlook;
  • l'elencazione dei processi in esecuzione. 

Tutte le informazioni raccolte sono inseriti in un JSON che viene poi inviato al server. Queste informazioni servono perché il server possa inviare al malware i comandi da eseguire secondo la macchina colpita.
 

sLoad, il malware paziente specializzato in elusione dei controlli
sLoad ha alcune peculiarità che è interessante sottolineare. La prima è che, tra una richiesta e l'altra al server, è prevista una pausa di 40 minuti. Una volta però che il malware avrà eseguito il primo comando, questo intervallo sale già a 4 ore. Non solo: il primo payload viene utilizzato soltanto un'ora dopo l'infezione. 

Quindi da una parte le richieste sono sempre più diluite nel tempo, dall'altra c'è il problema che le risposte del server C2 rispetto alle operazioni dannose da eseguire varia a seconda dei dati raccolti dalla macchina al momento dell'infezione e inviati al C2. Insomma, questo malware fa di tutto non solo per pasare inosservato, ma anche per nascondersi e per impedire in ogni forma l'analisi da parte dei ricercatori di sicurezza. 

Il report completo è disponibile qui

Nessun commento:

Posta un commento