Il pericolo dei malware fileless continua a crescere: l’ultima minaccia si chiama Kraken e si sta diffondendo mediante un’innovativa campagna che sfrutta il servizio Windows Error Reporting (WER) usato dal sistema operativo per gestire i messaggi di errore.
Per contestualizzare quanto queste minacce possano rappresentare un pericolo rispetto ai “tradizionali” malware, basti pensare che il Ponemon Institute ha stimato che gli attacchi fileless hanno una probabilità di successo 10 volte superiore rispetto alla norma.
L’attacco del malware fileless Kraken, tracciato per la prima volta lo scorso 17 settembre dai ricercatori di Malwarebytes, ha inizio con una classica e-mail di phishing che sembra offrire informazioni cruciali in merito ad arretrati di qualche compenso.
La campagna riporta direttamente ad un sito web malevolo che è in grado di caricare il malware fileless Kraken all’interno del servizio Windows Error Reporting della macchina della vittima.
I criminal hacker, per portare a termine il loro percorso di infection, hanno in questo caso compromesso un sito per trasformarlo in piattaforma di hosting del payoload del malware.
Fatto questo, hanno utilizzato il malware framework CactusTorch per compiere il loro attacco fileless – accompagnato da numerose tecniche anti-analisi di sicurezza.
Indice degli argomenti
Attacco al Windows Error Reporting e l’ombra di APT32
Il servizio di Windows Error Reporting è parte dei sistemi operativi di Windows sin dai tempi di Windows XP e adesso è presente anche nella versione dell’OS mobile della casa di Seattle.
Il programma esegue il file WerFault.exe, di norma attivato quando si verifica un errore nel sistema operativo Windows (o in altre operazioni come applicazioni e features).
Questo lo rende il meccanismo perfetto di occultamento per un’infezione fileless, perché logicamente sarebbe più difficile sospettare che qualcosa di dannoso sta avvenendo sulla macchina mentre il servizio è attivo.
Quando le vittime vedono WerFault.exe in funzione sul loro PC, probabilmente penseranno unicamente che sia successo qualche errore, mentre in questo caso sono state effettivamente prese di mira dai criminal hacker.
Questa tecnica di offuscamento è una sorta di biglietto da visita. Infatti, è stata utilizzata in passato dal gruppo APT OceanLotus – anche noto come APT32 (con base delle operazioni in Vietnam).
Altro segno distintivo di APT32 è l’utilizzo di CactusTorch per diffondere varie versioni del Remote Access Trojan Denis. Se a questo aggiungiamo il fatto che l’host del dominio è registrato a Ho Chi Minh City in Vietnam, è facile capire perché Malwarebytes abbia indicato OceanLotus come uno dei principali sospettati.
L’unico dubbio sulla conferma dell’identità degli aggressori deriva dal fatto che i ricercatori non hanno ancora avuto modo di accedere e analizzare pienamente il payload.
Come funziona l’attacco al Windows Error Recording
L’attacco inizia con un file ZIP contenente un documento dannoso, che i criminal hacker distribuiscono attraverso attacchi di spear phishing.
All’interno, come in tantissimi altri casi di phishing che utilizzano allegati dannosi, è presente una macro dannosa che utilizza una versione modificata del modulo VBA di CactusTorch per eseguire il suo codice shellcode.
CactusTorch sfrutta la tecnica DotNetToJscript per caricare un codice binario compilato in .NET in memoria ed eseguirlo da vbscript.
Il carico utile caricato è una DLL .Net con “Kraken.dll” come nome interno, che inietta un codice shell incorporato in WerFault.exe usando una tecnica osservata in precedenza con il NetWire RAT e il ransomware Cerber.
Nella recente campagna, il loader del malware ha due classi principali, “Kraken” e “Loader”, che insieme completano il processo di installazione del payload nel servizio WER.
La classe “Kraken” contiene il codice shell che viene iniettato nel processo di destinazione definito in questa classe come “WerFault.exe”.
Questa classe ha un solo scopo: richiamare la funzione “load” della classe “loader” con il codice shell e il processo target come parametri.
Fatto questo, la classe “loader” compie l’iniezione di shellcode nel processo di destinazione effettuando chiamate API di Windows.
Il codice shell finale è un insieme di istruzioni che fanno una richiesta HTTP ad un dominio hard-coded per scaricare un payload dannoso e iniettarlo in un processo.
Un campanello di allarme?
I criminal hacker sono costantemente in lotta con CISO e SOC; a ogni risposta in ambito cyber security a una minaccia corrisponde un’evoluzione nelle loro tecniche.
Per chi si occupa di difesa del perimetro digitale di un’organizzazione, spesso si tratta di una corsa contro il tempo; perché le tecniche di attacco più efficaci sono necessariamente le più nuove.
Il malware fileless, anche se non si tratta di una novità assoluta, è efficace nell’eludere tutte le soluzioni di sicurezza, tranne le più sofisticate.
APT32, al momento, sta operando unicamente nelle regioni del sud-est asiatico, ma il livello d’information sharing tra i criminal hacker sta aumentando rapidamente e potrebbe non passare troppo tempo prima di riscontrare questo tipo di attacco anche nel Vecchio Continente.
