SVCReady è un nuovo malware, che, come segnalato dal CERT è già in diffusione in Italia. Sfrutta documenti Word per infettare i sistemi bersaglio e ruba i dati bancari.
SVCReady: il debutto in Italia a Giugno
SVCReady è un nuovo malware che, fino a poco meno di un mese fa, era del tutto sconosciuto in Italia. Il ricercatore italiano di sicurezza JAMESWT il 13 Giugno pubblica l'analisi di quella che si presume essere la prima campagna di diffusione mirata, contro utenti italiani, di SVCReady. Le email, a tema "perdita di peso" e "invio curriculum", contenevano un file Word compromesso che, dopo l'abilitazione della macro, scaricava direttamente l'eseguibile del malware.
Fonte: https://twitter.com/jameswt_mht |
Fonte: https://twitter.com/jameswt_mht |
Il CERT aveva comunque dato notizia, relativamente a SVReady, già nell'Aprile 2022, quando era stato impiegato come downloader del malware Ursnif.
Da metà Giugno ha continuato ad essere in diffusione con campagne mirate contro utenti italiani, anche se a cadenza irregolare. Nel report settimanale del CERT relativo alla scorsa settimana (16-22 Luglio) si legge che SVCReady è stato di nuovo in diffusione, con due campagne a tema Covid 19 e Delivery contenenti, anche in questo caso, file Word compromessi.
Anatomia di SVCReady: le analisi dei ricercatori di sicurezza
Visto che la minaccia si fa ricorrente, vediamo qualche dettaglio tecnico aggiuntivo. Doverosa una premessa: la versione individuato ad aprile era sicuramente una versione di test. Da quel momento il malware ha subito continue correzioni e miglioramenti, ricevendo più aggiornamenti anche contemporaneamente. E' quindi una minaccia che si sta preparando a restare attiva per molto tempo.
Come detto, SVCReady è diffuso via email compromessa con macro: la macro VBA, se attivata, esegue uno shellcode "stoccato" direttamente nelle proprietà del documento allegato all'email vettore.
Lo shellcode nascosto nelle proprietà del documento. Fonte: HP |
Secondo molti ricercatori, questa separazione tra la macro e lo shellcode dannoso è una tecnica che gli attaccanti hanno implementato per cercare di aggirare le soluzioni di sicurezza, che tavolta non sono in grado di rilevare questo tipo di attacchi.
Lo shellcode è caricato quindi in una variabile. Va detto che sono scaricati differenti shellcode, a seconda che l'architettura del sistema bersaglio sia a 32 o 64 bit. Lo shell code appropriato viene poi caricato in memoria, dove userà la funzione Windows API "Virtual Protect" per ottenere le permissioni necessarie per l'eseguibile. Quindi il SetTimer API passa l'indirizzo dello shellcode e lo esegue. Alla fine di questo passaggio risulterà una DLL, salvata in %TEMP%: questa è il payload del malware.
Per saperne di più > Microsoft: Office non bloccherà più le macro VBS di default (per adesso)
SVCReady il malware Loader
La prima operazione compiuta da SVCready è quella di "profilare" il sistema bersaglio, tramite query di registro e chiamate Windows API: tutte le informazioni raccolte sono inviate al server C&C tramite richieste HTTP POST. Tutte le comunicazioni col server C&C sono criptate con chiave RC4: questa è una delle funzionalità aggiunte al malware nel mese di Maggio 2022.
Il malware fa anche due richieste WMI, per verificare se sia o meno in esecuzione in un ambiente virtuale: se verifica la presenza di ambienti virtuali, entra in standby per circa 30 minuti per eludere l'analisi.
Il malware va in standby per evitare le analisi in ambienti virtuali. Fonte: HP |
La persistenza è ottenuta semplicemente creando un'attività pianificata a una nuova chiave di registro. Nelle prime versioni diffuse questo meccanismo era buggato e il malware non si avviava dopo il riavvio: ora questo problema è stato risolto e il malware è capace di ottenere la persistenza sui dispositivi infetti. La connessione col server C&C resta costante e avviene ogni 5 minuti: il malware segnala così al server lo stato, trasferisce nuove informazioni, verifica che il dominio di riferimento sia ancora online, riceve nuove istruzioni.
Le funzionalità di SVCReady
Ma questo malware che cosa fa?Ruba informazioni e scarica altri malware, principalmente. Tra le sue funzionalità ci sono:
- download di file sul client infetto;
- scatto di screenshot;
- esecuzione shell di comando;
- raccolta di informazioni del sistema;
- verifica dello stato delle USB e del numero dei dispositivi collegati;
- esecuzione di file...
- downloader di altri malware: ad esempio ad Aprile 2022 i ricercatori HP hanno scoperto che SVCReady diffondeva il malware Redline Stealer.
Essendo un malware giovane ed in costante sviluppo, questa lista di funzionalità sicuramente è destinata ad allungarsi. Ne daremo notizia. Ad ora questo malware è comunque individuato da molte soluzioni di sicurezza informatica, come Quick Heal Total Security.
Nessun commento:
Posta un commento