Il tool di sviluppo Microsoft Build Engine abusato per distribuire malware ruba-password: i dettagli

I ricercatori di sicurezza di Anomali Threat Research hanno identificato una campagna in cui gli attori delle minacce hanno utilizzato il tool di sviluppo Microsoft Build Engine (MSBuild) per distribuire in modalità fileless il RAT Remcos per il controllo remoto dei sistemi target e il malware ruba-password RedLine stealer.

A questa campagna, iniziata lo scorso aprile ma che sarebbe ancora in corso, non è stato possibile attribuire la paternità e riuscirebbe ad eludere i controlli dei principali tools antivirus.

I campioni di Microsoft Build Engine contenenti il malware ed esaminati contenevano eseguibili codificati e shellcode, alcuni dei quali ospitati anche sul sito russo di hosting d’immagini “joxi [.] Net”.

Gli attacchi fileless che abusano di Microsoft Build Engine

Microsoft Build Engine (MSBuild) è uno strumento legittimo di sviluppo utilizzato per la creazione di applicazioni, tramite file di progetto XML che contengono le specifiche di compilazione secondo il mapping delle attività definite dall’elemento “UsingTask”.

Inoltre, MSBuild dispone anche di una funzionalità di attività inline che consente di compilare codice e di eseguirlo direttamente in memoria.

Proprio quest’ultima caratteristica di eseguire codice in memoria è ciò che lo rende appetibile ai criminali informatici perché risulta un ottimo strumento per allestire degli attacchi fileless, capaci di compromettere una macchina senza lasciare tracce e limitando le possibilità di rilevamento.

A tal proposito un’analisi WatchGuard rilasciata nel 2021 ha mostrato proprio un clamoroso aumento (+888%) degli attacchi fileless dal 2019 al 2020, a testimonianza della piena fiducia di successo riposta dagli attori delle minacce a queste tecniche di attacco.

Remcos RAT e Redline stealer: come ci rubano le password

Sebbene i ricercatori non siano stati in grado di determinare il modo in cui vengono distribuiti questi file di progetto (.proj), hanno però potuto affermare con certezza che tutti fornivano come carico utile finale il RAT Remcos o lo Stealer RedLine.

Pertanto, i principali payload rilevati dall’analisi campionaria eseguita da Anomali sono stati:

• Remcos, un software commerciale scritto in linguaggio C++ e creato da Breaking Security impiegato in modo lecito per offrire supporto remoto e pentesting, ma che tuttavia è stato spesso utilizzato dai criminali informatici per scopi malevoli (RAT, Remote Access Trojan), consentendo l’accesso completo alle macchine infette con varie funzionalità che includono:

1. Anti-AV;
2. Raccolta credenziali;
3. Raccolta informazioni di sistema;
4. Keylogging;
5. Persistenza;
6. Cattura dello schermo;
7. Esecuzione di script;

• RedLine Stealer, un malware scritto in .NET e specializzato a cercare nelle macchine infette la presenza di più prodotti che includono software di criptovaluta, app di messaggistica, VPN (NordVPN) e browser web ed a rubare diversi tipi di dati tra cui:

1. cookie;
2. Credenziali VPN;
3. informazioni memorizzate sui browser web come estremi di carte di credito, username e password;
4. cryptowallet;
5. informazioni di sistema.

Malware su Microsoft Build Engine: la catena d’infezione

Dall’analisi di alcuni campioni, i ricercatori hanno potuto ricostruire la catena d’infezione descritta nella figura sottostante secondo tre step principali:

1. per garantire una certa persistenza, il binario nativo Windows mshta.exe viene utilizzato per lanciare un VBscript e eseguire i file di progetto (.proj) salvando anche in una cartella apposita di startup un link di collegamento (.lnk);
2. dopo la creazione della persistenza, due array di byte decimali vengono decodificati da una funzione che restituisce rispettivamente un blocco eseguibile ovvero il payload (Remcos, RedLine Stealer o in rari casi Quasar RAT) e un blocco Shellcode. Il payload e lo shellcode vengono allocati entrambi in memoria;
3. lo shellcode viene eseguito utilizzando una funzione di callback (CallWindowProc o Delegate.DynamicInvoke) mentre le chiamate allo shellcode successive si occupano di allocare la memoria (VirtualAlloc), creare un processo (CreateProccessW) e iniettare il payload nella memoria del processo medesimo.

Cosa impariamo da questa nuova minaccia

Come affermato dallo stesso team di ricerca, “gli attori della minaccia alla base di questa campagna hanno utilizzato la consegna fileless come mezzo per aggirare le misure di sicurezza dei sistemi target. Questa campagna evidenzia che fare affidamento solo sui software antivirus non è sufficiente per la difesa informatica e che l’uso di codice legittimo per nascondere i malware dagli antivirus è un metodo efficace e in crescita esponenziale”.

“Concentrarsi sulla formazione e sull’igiene della sicurezza informatica” – concludono gli analisti – “sono solo alcune delle linee guida raccomandate per contrastare questa minaccia”.