Il CERT ha scoperto, nel corso del monitoraggio dei cyber rischi circolanti nel circuito PEC, che il malware sLoad usa una nuova tecnica per eludere i controlli.
Prima di iniziare, le presentazioni: sLoad in breve
Di sLoad abbiamo parlato spesso. Dovutamente, dato che è uno dei malware più diffusi in Italia. Ma soprattutto perch è il malware che ha fatto delle PEC il suo "campo di battaglia preferito" e questo è, nei fatti, un problema di sicurezza nazionale.
Sviluppato per operare sui sistemi Windows e per colpire le aziende, si basa su uno script Powershell del cui download è appunto responsabile un dropper solitamente nascosto entro un archivio ZIP e "ospitato" entro file che assumono diverse forme. E' questo Powershell che installa ed esegue il core di sLoad. Manco a dirsi è altamente offuscato, ma i ricercatori hanno osservato che sLoad si installa in APPDATA in una cartella il cui nome ha lunghezza variabile.
La prima operazione compiuta è, ovviamente, quella di garantirsi la persistenza. Per farlo crea una task apposita che inizia con la lettera S ed è seguita, nel nome, da un numero sequenziale: sLoad così si anniderà nel sistema e sarà sempre pronto ad agire.
Tecnicamente è definibile come un RAT, trojan di accesso remoto: i server di comando e controllo sono elencati nel file sleep.sh (anche se il nome di questo file varia tra i sample). Le chiamate ai server C&C e le operazioni di rete sono eseguite via BitsAdmin. Qui sLoad ha perfino una tecnica di autodifesa: se viene rilevata una richiesta non compatibile con BitsAdmin o con il core, l'IP che la effettua viene bloccato. Per questo il malware invia ai server C&C chiamate per verificare che siano attivi.
 |
| La catena di infezione di sLoad tramite file LNK. Fonte: https://securityaffairs.co |
Una volta stabilita la connessione coi server C&C, sLoad ricerca una lunga serie di informazioni. Ad esempio:
- cartelle condivise;
- nome CPU e del sistema operativo;
- la lista di tutti i file OST (Outlook) precedenti nel percorso AppData\Local\Microsoft\Outlook;
- la lista dei processi in esecuzione;
- ricerca in APPDATA i file contenenti i domini di note banche italiane.
Per saperne di più > sLoad nuovamente in diffusione via PEC: info e come eliminare il trojan rubadati
La nuova tecnica elusiva di Sload
Nel corso delle attività di monitoraggio continue che il CERT-AGID svolge in collaborazione con i principali gestori PEC è stata individuata una campagna di diffusione del malware sLoad che usa una nuova tecnica di elusione delle misure di sicurezza email. Il report completo è disponibile qui.
In dettaglio, sLoad può eludere i controlli sulle estensioni dei file contenuti negli archivi ZIP nei quali gli attaccanti nascondono il payload del malware. Questi archivi ZIP sono quelli che si trovano allegati alle email con le quali sLoad viene fatto circolare.
Il CERT riporta uno screenshot nel quale si vede che il file originale presente nello ZIP si chiama “fisc.vbs. ” con un punto ed uno spazio finale. Una volta estratto, il file cambia nome in “fisc.vbs“: il file a questo punto è eseguibile. In pratica, durante l'estrazione, il nome del file viene ripulito dagli spazi e dal punto.
 |
| Fonte: https://cert-agid.gov.it |
Questa tecnica è stata individuata nel corso di una campagna intercettata e analizzata 29 Giugno 2022 nel circuito PEC: le email veicolavano appunto un allegato archivio ZIP che conteneva al suo interno il file VBS dannoso. Il file VBS è finalizzato al download di sLoad via BitsAdmin.
Il CERT sottolinea che questa tecnica di elusione dei controlli funziona:
- non solo nel circuito PEC, ma su qualsiasi servizio di posta elettronica dotato di sistemi di controllo delle estensioni file;
- su qualsiasi tipologia di estensione, non soltanto sui file VBS.
Nell'alert del CERT sono consultabili gli indicatori di compromissione (IoC).
Nessun commento:
Posta un commento