Una nuova campagna di malspam sta prendendo di mira le utenze italiane e, in particolare, le caselle di posta elettronica riferibili a strutture della pubblica amministrazione.
Dalle analisi svolte dagli analisti del CERT-PA su alcuni campioni malevoli estratti da una e-mail contenente due allegati, sono state individuate alcune particolari e interessanti tecniche di offuscamento del codice malevolo identificato come l’ennesima variante del noto malware Gootkit. Scopo della nuova variante è quello del furto di dati riservati e di credenziali di accesso delle macchine compromesse.
“Sicuramente la tecnica di attacco è molto efficace perché permette di acquisire immediatamente le credenziali senza ulteriori step (ad esempio con un keylogger)” ci dice Jusef Khamlichi, Information & Cyber Security Advisor di P4I – Partners4Innovation.
Andrea Argentin, Sales Engineer Manager, Italy & Iberia di CyberArk ci ricorda, invece, che “il trojan Gootkit è già noto da giugno 2018 ed è uno dei malware più efficaci in ambito bancario. Come ogni buon malware, questo viene poi riadattato allo scopo. In questo caso specifico, ovvero la campagna contro le PEC della PA, viene utilizzata, come spesso accade, una situazione contingente, quale ad esempio la “fatturazione elettronica” o un altro tema di impatto massivo. Si sfrutta l’effetto di un cambiamento importante e un coincidente abbassamento del livello d’attenzione, per avviare una campagna spam mirata. In questo caso specifico, il malware si sarebbe poi inviato dalla stessa PEC infettata a tutti i contatti in rubrica, dando per il ricevente una totale apparenza di legittimità”.
Indice degli argomenti
Analisi tecnica dell’eseguibile del malware Gootkit
Tra le prime operazioni effettuate dalla nuova variante di Gootkit vi è, infatti, l’invio delle credenziali della macchina infettata ad una URL relativa presumibilmente ad un server C&C.
In allegato all’e-mail malevola usata per diffondere la nuova variante del malware Gootkit vengono diffusi questi due file con un nome molto simile tra loro:
- 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075.xm
- 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075 xm.js
Nel primo caso si tratta di un file XML contenente espliciti riferimenti a PagoPA che ha la particolarità di avere un’estensione (volutamente?) incompleta. Il secondo file è invece il dropper di Gootkit, cioè il programma creato per installare il malware vero e proprio o aprire una backdoor sul sistema target.
Per analizzare il contenuto del file .js e scoprire così le istruzioni che vengono impartite al dropper è necessario procedere ad un doppio deoffuscamento del codice. In questo modo si evince che il dropper effettua il download di due file: il malware vero e proprio e un ulteriore file JS.
In particolare, Il primo file ad essere scaricato è una copia della nuova variante di Gootkit dall’indirizzo http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhcj. Il file viene quindi salvato nella cartella dei file temporanei di Windows con il nome di SMSvcHost32.exe. Al termine del download, il file viene eseguito.
Il codice dell’eseguibile è ovviamente offuscato e presenta anche una evoluta funzionalità di antidebug. Il comportamento del malware è molto simile a quello delle precedenti varianti di Gootkit, ma ovviamente utilizza server C&C differenti per comunicare con i criminal hacker. In particolare, il dominio meenwae.top contattato dal malware è stato utilizzato di recente per diffondere altri pericolosi malware tra cui Emotet, Lokibot e Dridex.
Analisi tecnica del dropper del malware Gootkit
Completata questa prima operazione della catena malevola, il dropper scarica un ulteriore JavaScript dalla URL http://cloud.kokoheadattorney.com/502?xhhxsw, salvandolo nella cartella temp di Windows ed eseguendolo.
Anche il codice di questo secondo file JavaScript è offuscato, ma gli analisti del CERT-PA sono riusciti ad individuare le istruzioni per effettuare il download di un terzo file che punta questa volta ad una risorsa PHP al link http://cdn.zaczvk.pl/crypt0DD1D2637FDB71097213D70B94E86930.php. Anche questo file, una volta salvato tra i file temporanei di Windows col nome di SearchI32.txt, viene eseguito. Il suo compito è quello di inviare le credenziali di accesso al sistema Windows compromesso ad una specifica URL controllata ovviamente dai criminal hacker creatori della nuova variante del malware Gootkit.
Dall’analisi del codice si possono osservare tre differenti operazioni compiute dal file SearchI32.txt:
- innanzitutto, viene creato nella cartella di avvio automatico di Windows (in modo che venga eseguito ad ogni riavvio del sistema garantendosi così la persistenza) un collegamento al processo di sistema cscript.exe a cui viene passato il file SearchI32.js analizzato in precedenza;
- viene quindi generato un ID univoco della macchina infetta ottenuto dalla combinazione del nome della macchina (estrapolato mediante il comando PowerShell Get-WmiObject -class Win32_ComputerSystem -Property Name).Name) e dei primi 8 caratteri della signature degli hard disk presenti nella macchina (estrapolati mediante il comando [convert]::tostring($disk.signature, 16);). Si ottiene, così un ID del tipo: COMPUTER-NAME_ah4k85hb;
- a questo punto, il file SearchI32.txt invia le credenziali di accesso al computer Windows compromesso (rubate mediante il comando [System.Net.CredentialCache]::DefaultCredentials) e l’ID della macchina appena creato (bot_id) alla URL http://space.bajamelide.ch.
Come ultima azione malevola, la nuova variante del malware Gootkit analizza le configurazioni relative alla connettività Internet memorizzate nel registro di sistema della macchina compromessa. Lo scopo è quello di verificare la presenza di proxy e dei valori SystemBiosVersion e VideoBiosVersion nella chiave HKLM\HARDWARE\DESCRIPTION\Systemper per individuare se l’ambiente di esecuzione è virtuale (ad esempio all’interno di un Intrusion Detection System).
A questo punto, la nuova variante di Gootkit inizia a raccogliere informazioni dalla macchina compromessa e le organizza per inviarle al server di command and control da cui successivamente riceverà nuovi file e istruzioni per procedere con il furto di dati e credenziali.
I consigli per difendersi dalla nuova variante di Gootkit
“Per difendersi da questi attacchi occorre certamente una forte awareness da parte degli utenti delle PA” è il consiglio di Jusef Khamlichi. “Secondo aspetto da considerare è la gestione dei privilegi amministrativi sui sistemi operativi installati sulle workstation: in genere, infatti, un utente senza privilegi di amministrazione su una macchina non è in grado di lanciare file eseguibili (programmi) non autorizzati o comunque viene allertato che sta lanciando un programma simile. Teniamo conto che ci sono comunque attacchi in grado di bypassare anche questi controlli, come sembra essere il caso del malware in oggetto”.
“Ultimo controllo fondamentale”, continua Khamlichi, “riguarda le attività di logging e monitoraggio: infatti, acquisendo e analizzando tramite un SIEM (Security Information and Event Management) i log relativi alle connessioni con le credenziali rubate è possibile riconoscere connessioni anomale, ad esempio dall’esterno, e quindi bloccarle tempestivamente”.
Secondo Andrea Argentin di CyberArk “è giusto che campagne di informazione su queste nuove minacce siano quanto più celeri e pervasive possibile, in modo da allertare il maggior numero di soggetti possibile, dalle PA stesse alle aziende”.
Ecco, infine, alcuni consigli pratici per identificare la nuova variante del malware Gootkit e proteggersi da possibili attacchi.
Innanzitutto, per identificare la nuova minaccia è possibile utilizzare i seguenti indici di compromissione:
URL
- https://ws.diminishedvalueoregon.com/rbody32
- https://ws.diminishedvalueoregon.com/rbody320
- https://ws.diminishedvalueoregon.com/rbody64
- https://meenwae.top/
- http://cloud.kokoheadattorney.com/501?axajezwjhcagguewvhcj
- http://cdn.zaczvk.pl/crypt0DD1D2637FDB71097213D70B94E86930.php
Domain
- ws.diminishedvalueoregon.com
- meenwae.top
- cloud.kokoheadattorney.com
- cdn.zaczvk.pl
File
- 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075.xm
MD5:675bf6e6782ee5fc5df7600d8d22ac9b
SHA1:bebfd24c3868d1f51ff5a375aaf63756d1e8a5c9oSHA256:0e9acd54b3bd3aceb7b526808044964752cb357531dd0e0b743967e3cc5a9ba4 - 2019 1110-Eseguito_Bonifico_Europeo_Unico_0000_11075 xm.js
MD5:c433f076bf38728a175b71b3bba62582
SHA1:18e03386a6ab78a35e1ad4413dd42c3ac2dd098aoSHA256:6c416de99049a1b38a75b402c1ba26594eb3fd0adc3290c0d97ce93ede47432f - SMSvcHost32.exe
MD5:514c64456c6455477546c81127f6d869
SHA1:73ea01c8d2cef4777085e609f0fe386bd5775f86 oSHA256:50c5031899fcb3eec49d2f147adbeaba6312cfd068530526ac59674f412fdb44 - SearchI32.js
MD5:70ce0f76cb4cf493d43836c8542917b5
SHA1:4b1b00f78d38570c006cd3192ac33013f35aed93oSHA256:e88ee63c510be1def6af067c3f69eeae36f130f2fb34a606af0b289124f77f23 - SearchI32.txt
MD5:a4c1ddaecdff4365c59032c5df72d9f7
SHA1:02561878ce7cf079f017e2875fd1f32662277f09oSHA256:675a3cd24978b01f6cdefcb0593f9db99953a68f33552aefe1643da3331ef6c4
Per difendersi dal malspam utilizzato per diffondere la nuova variante di Gootkit è invece sufficiente seguire alcune semplici regole di sicurezza informatica:
- non scaricare o visualizzare mai gli allegati di mittenti sconosciuti;
- trattare sempre gli allegati di mittenti conosciuti come eventualmente sospetti, a meno che le informazioni non siano state esplicitamente richieste;
- non eseguire mai file eseguibili allegati alle e-mail, a meno di non essere assolutamente certi della provenienza;
- se si dovesse aprire il documento in allegato e questi consiglia diversamente, non bisogna mai abilitare le macro all’interno dei prodotti Office;
- in caso di dubbio, contattare il mittente prima di aprire l’allegato per chiedere ulteriori informazioni;
- eseguire sempre la scansione degli allegati con un buon antivirus aggiornato con le ultime firme virali.
Infine, il consiglio per tutte le aziende è quello di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
