È stata individuata una nuova variante del trojan LokiBot che, a differenza del passato, nasconde il suo payload compresso in formato ZIPX all’interno di un file immagine in formato ISO (un formato usato, tipicamente, per memorizzare copie di backup di supporti CD e DVD).
Il metodo di diffusione è sempre lo stesso: i criminal hacker hanno avviato una massiccia campagna di malspam per distribuire e-mail che fanno riferimento a finte fatture e hanno in allegato il file ISO infetto contenente il codice malevolo di LokiBot.
I campioni di file ISO isolati finora “pesano” tra 1 MB e 2 MB: una caratteristica singolare in quanto i file immagine in genere hanno dimensioni non inferiori ai 100 MB e che, quindi, dovrebbe mettere in guardia sulla pericolosità di questo genere di allegato.
La nuova campagna malevola, inoltre, non sembra essere indirizzata verso obiettivi mirati ma è stata studiata per colpire il maggior numero di vittime possibile.
Indice degli argomenti
Cambia il formato, ma l’allegato è sempre infetto
LokiBot, lo ricordiamo, è un trojan classificato come info-stealing e quindi capace di rubare dati e informazioni archiviati nei computer compromessi.
La scelta dei criminal hacker di nascondere il codice malevolo del malware all’interno di un file ISO non è casuale: questo formato, infatti, viene tipicamente escluso dai filtri antivirali delle soluzioni di sicurezza e dagli scanner che analizzano i messaggi di posta elettronica alla ricerca di possibili minacce.
Una tecnica non nuova in quanto già ad aprile scorso una precedente variante di LokiBot è stata distribuita usando messaggi di posta elettronica infetti con un allegato in formato .ZIPX dannoso nascosto all’interno di un file immagine di tipo .PNG che, proprio per questa sua apparente innocuità, riusciva a sfuggire ai sistemi di controllo antispam e antivirus attivi sui computer target.
LokiBot non è una novità per gli analisti di sicurezza: si tratta di un trojan “prolifico” progettato per rubare segretamente informazioni da endpoint compromessi e quindi particolarmente pericoloso soprattutto in ambiti aziendali e produttivi. Il malware è noto per la sua semplicità ed efficacia e nel tempo si è diffuso utilizzando diverse tipologie di allegati infetti.
La pericolosità di LokiBot sta inoltre nel fatto che il suo codice malevolo è facilmente acquistabile nel mercato nero del Dark Web a soli 300 dollari. Chiunque, con un minimo di competenze tecniche, può quindi modificare il codice e rilasciare varianti del trojan con nuove funzionalità, come quest’ultima che consente al malware di “nascondersi” dentro una semplice foto o un file immagine e che per questo ricorda molto la tecnica della steganografia.
Trojan LokiBot: analisi della tecnica di offuscamento
Analizzando i campioni di messaggi di spam finora identificati si scopre che il payload del trojan LokiBot ha tre caratteristiche peculiari.
Intanto, come dicevamo, l’allegato utilizzato nella campagna spam ha un’estensione .ZIPX che rivela subito la natura di archivio compresso. Questi tipi di file compressi sono noti per ospitare codici di malware e sono in genere individuati e segnalati come pericolosi dai filtri di sicurezza delle caselle di posta elettronica.
Nel tentativo di evitare il rilevamento, i criminal hacker ideatori delle varianti del trojan LokiBot hanno trovato il modo di ingannare gli scanner di sicurezza delle e-mail usando una particolare tecnica di offuscamento dell’archivio che utilizza la firma di un file in formato .ISO e .PNG (Portable Network Graphics) creato ad hoc.
In particolare, la struttura dei file .PNG è completa di tag “header” e “IEND”: in questo modo, una scansione del file dannoso (identificato come RFQ -56000000005870.zipx) identifica l’allegato come immagine .PNG, anche se ha un’estensione .ZIPX. Il codice dell’archivio compresso malevolo – che contiene LokiBot – viene infatti aggiunto alla fine della firma del file .PNG.
La struttura dei file PNG si presta molto bene a questa particolare tecnica di offuscamento. Il tag IEND dovrebbe segnare la fine dell’immagine e dovrebbe apparire come ultima istruzione del codice sorgente. In realtà, nel codice dell’immagine creata ad hoc dai criminal hacker c’è un mucchio di altri dati (il codice del trojan LokiBot) dopo l’IEND ma la specifica del formato PNG consente tali dati estranei: spetta all’applicazione che apre il file immagine decidere se cercare di interpretare o ignorare tali dati. Ovviamente, i criminal hacker confidano sul fatto che la maggior parte degli scanner di sicurezza delle caselle di posta ignora questi dati aggiuntivi lasciando via libera al trojan.
Inoltre, come ulteriore tecnica di offuscamento del codice malevolo di LokiBot, i criminal hacker hanno trovato il modo di associare l’icona di un’immagine JPEG al file PNG.
La catena infettiva del trojan LokiBot inizia quando l’utente apre il file PNG o ISO corrotto allegato all’e-mail di spam. In realtà, così facendo, la vittima non fa altro che richiedere l’apertura dell’archivio compresso nascosto nell’immagine PNG o nel file ISO. Dalle analisi effettuate, sembrerebbe che solo WinRar consente l’apertura dello ZIPX, mentre altri gestori di archivi compressi come 7-zip e WinZip danno errore probabilmente a causa dei dati estranei contenuti nella firma del file.
Per eseguire il payload di LokiBot, quindi, la vittima deve scompattare l’archivio ZIPX da 500 KB in un nuovo file non compresso da 13,5 MB e poi eseguire il file RFQ -56000000005870.exe. Il payload viene quindi caricato in memoria ed eseguito utilizzando la tecnica del Process Hollowing, che consiste nel creare un nuovo processo che viene lasciato in sospeso, la sua memoria mappata e poi sostituita col codice dannoso di LokiBot.
Come difendersi dal trojan LokiBot
Ovviamente, per non rimanere vittime del trojan LokiBot non bisogna mai aprire o decomprimere allegati di posta elettronica di cui non si è certi della loro provenienza: è l’unico modo per bloccare la catena infettiva del malware.
Un’accortezza da utilizzare anche nel caso in cui il mittente è noto, perché spesso i malware utilizzano le rubriche delle vittime per diffondersi ai loro contatti. Se riceviamo un allegato inaspettato in formato ISO, PNG o, a maggior ragione, ZIP è opportuno chiedere conferma al mittente: a volte, una semplice telefonata può bastare per mettere al sicuro il nostro computer e tutti i dati in esso archiviati.
È inoltre utile installare e tenere costantemente aggiornato un buon antivirus dotato di funzionalità di analisi comportamentale e isolamento in sandbox che, per quanto non garantisce l’immunità, è comunque un buon supporto per identificare malware noti e meno noti.
Mai fidarsi del semplice controllo antispam integrato nel server di posta: abbiamo visto che con la tecnica di offuscamento utilizzata da LokiBot questo sistema di sicurezza non offre assolutamente un livello di protezione adeguato.
Infine, soprattutto in ambito aziendale, è importante mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
Articolo pubblicato lo scorso 8 aprile e aggiornato in seguito alla scoperta della nuova variante del trojan LokiBot
