E' stata individuata una nuova versione del malware Ursnif che presenta soltanto funzionalità da backdoor: non c'è traccia delle funzionalità, caratteristiche di Ursnif, da trojan bancario. Un cambiamento molto indicativo per questo malware diffuso a livello mondiale e, molto spesso, anche in Italia: potrebbe infatti significare che Ursnif sta mutando funzioni. Non punta più a rubare gli account bancari ma si specializza nell'aprire punto di accesso iniziale su reti bersaglio. E' pronto il debutto nelle operazioni ransomware?
La nuova variante di Ursnif LDR4
La nuova variante, nome in codice LDR4, è stata individuata a Giugno e si sospetta che sia stata diffusa dagli stessi autori che hanno mantenuto la versione RM3 negli anni passati.
Le varianti Ursnif circolate negli ultimi anni. Fonte: Mandiant |
La nuova campagna di diffusione di Ursnif
Doverosa premessa è che, per quanto Ursnif venga spesso diffuso in Italia, questa versione ancora non è stata individuata. Ma come si sa, prevenire è meglio che curare.
La campagna con la quale, attualmente, questa variante viene diffusa contiene una proposta di lavoro fake, con un un link ad un sito web che simula quello di aziende legittime ed esistenti. Una tecnica molto utilizzata, questa delle offerte di lavoro fake, preparata solitamente dalla raccolta di dati aziendali e di profili personali da Linkedin e social simili.
Ai visitatori del sito web fale viene richiesto di risolvere un captcha, fatto il quale avviene in automatico il download di un documento Excel con una macro che, se abilitata, scarica il payload del malware da una risorsa remota
Fonte: BleepingComputer |
La variante LDR4 si presenta come una libreria DLL (loader.dll) e presenta una firma con certificati validi. Tutto ciò aiuta ad eludere i controlli degli strumenti di sicurezza e rilevamento nel sistema. Secondo l'analisi eseguita dai ricercatori di Mandiant, da questa versione sono state rimosse tutte le funzionalità legate al furto di account bancari e anche il codice è stato ripulito e semplificato.
La backdoor della nuova versione
Una volta eseguito, Ursnif inizia la raccolta dei dati relativi ai servizi di sistema, saccheggiando il registro di Windows. Genera quindi un utente e un ID del sistema. Quindi si connette al server di comando e controllo usando una chiave RSA disponibile nel file di configurazione. Tenta quindi di recuperare la lista dei comandi da eseguire sull'host bersaglio.
Le richieste POST inviate da Ursnif al server di comando e controllo. Fonte: Mandiant |
I comandi supportati dalla variante LDR4 sono:
- caricare un modulo DLL nel processo corrente;
- recuperare lo status della reverse shell cmd.exe;
- avviare la reverse shell cmd.exe;
- terminare la reverse shell cmd.exe;
- riavviare la reverse shell cmd.exe;
- eseguire comandi arbitrari
- terminarsi
Il sistema di shell di comando integrato che usa un indirizzo IP remoto per stabilire una reverse shell non è affatto una novità. Quel che è nuovo è il fatto che questo sia integrato direttamente nel binario del malware invece di essere aggiunto come modulo addizionale, come successo nelle precedenti varianti.
Anche il sistema di plugin è stato eliminato, dato che la possibilità di questa variante di caricare un modulo DLL nel processo corrente garantisce a questa variante di estendere le proprie funzionalità secondo necessità. Un esempio di questo è riportato direttamente dai ricercatori di Mandiant: la libreria "vnc64_1.dll" fornisce al malware un modulo VNC che consente di eseguire attacchi "pratici" sui sistemi compromessi.
Ursnif si prepara per i ransomware?
Insomma, l'ultima versione di Ursnif fa pensare che il codice del malware sia stato ripulito e ridotto per condurre un'attività più specifica, ovvero quella di strumento di compromissione iniziale, molto probabilmente per aprire la strada ad altri malware.
Sul punto Mandiant ha fatto sapere di aver individuato, in community nell'underground hacking, un attore di minacce in cerca di partner per la distribuzione di ransomware e Urnsif.
Nessun commento:
Posta un commento