Si chiama Metamorfo la pericolosa famiglia di malware che mira a colpire i fruitori di servizi di home banking inducendoli a fornire nuovamente le loro credenziali di accesso che ruba sfruttando il modulo keylogger integrato.
In un recente comunicato, i ricercatori di sicurezza di FortiGuard Labs hanno pubblicato un’analisi di un’ultima variante di Metamorfo che, a differenza della precedente che ha interessato solo istituti brasiliani, si sta diffondendo tramite malspam anche in altri paesi, tra cui l’Italia, aggiungendo un nuovo stratagemma: una volta insidiato nei sistemi Windows costringe la vittima a digitare nuovamente le credenziali di acceso o degli estremi di pagamento, tracciandoli attraverso la sua componete keylogger.
Indice degli argomenti
Metamorfo: come avviene il contagio
Il campione della nuova variante di Metamorfo analizzato dagli analisti FortiGuard viene diffuso tramite e-mail di phishing che presentano in allegato un archivio in formato ZIP contenente un pacchetto di Microsoft installer denominato view-(AVISO)2020.msi.
Ovviamente il file MSI non contiene alcun avviso per l’utente come il nome lascerebbe intuire, ma del codice Javascript offuscato che, una volta estratto ed eseguito, effettua una serie di operazioni:
- innanzitutto, avvia il download di un ulteriore file ZIP aggiungendo un elemento al gruppo di esecuzione automatica nel registro di sistema infetto: ComputerHKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRun;
- successivamente, scompatta i tre file contenuti nello ZIP (un EXE, uno script binario ed un file DLL contenente il corpo principale della variante di Metamorfo) in una cartella locale generando dei nomi alfanumerici in maniera random;
- infine, effettua il running del file EXE per l’esecuzione di uno script AutoIT sulla base dei parametri imposti dagli altri due file (script binario e file .dll).
Secondo gli stessi analisti AutoIT, il linguaggio di programmazione supportato da Microsoft Windows viene adoperato per raggirare i sistemi di protezione antivirus spacciando l’eseguibile come programma legittimo.
La funzione principale della variante Metamorfo
Come già accennato, il corpo principale della variante è contenuto all’interno del file DLL che impone le direttive da seguire. Un’ulteriore conferma che questa libreria rappresenti il cuore del payload è che risulta essere protetta tramite il packer VMProtect v3.00-3.3.1 solitamente utilizzato dagli sviluppatori in ambito commerciale per scoraggiare le creazioni di versioni “craccate” dei prodotti originali, ma che in tal caso è usato dagli attaccanti per contrastare lo studio degli analisti.
I ricercatori comunque sono riusciti ad estrarre il codice macchina Assembler e individuare la funzione principale FormCreate() mostrandone le operazioni principali.
Una prima operazione ha lo scopo di imporre alla vittima l’inserimento manuale dei dati (URL e credenziali di accesso al servizio di home banking) senza il completamento automatico per consentire alla componente keylogger la relativa registrazione.
Pertanto, termina i processi che interessano i browser in esecuzione (Microsoft IE, Mozilla Firefox, Google Chrome, Microsoft Edge e Opera) e modifica i relativi valori delle chiavi di registro per disabilitare le funzioni di completamento/suggerimento automatico.
Una seconda operazione ha invece il compito di raccogliere tutte le informazioni relative alla versione del sistema operativo, al nome del computer e all’antivirus installato.
Una terza operazione si occupa di notificare al server di comando e controllo mediante un pacchetto POST l’avvenuta infezione.
Come accadeva per la variante precedente, anche quest’ultima versione di Metamorfo al termine della funzione FormCreate () avvia due timer per eseguire determinati compiti.
Il primo timer viene utilizzato per monitorare l’indirizzo di un portafoglio Bitcoin negli Appunti di sistema (durante le usuali operazioni di taglia incolla di un indirizzo Bitcoin da parte degli utenti, Metamorfo rileva e sovrascrive il portafoglio di destinazione con l’indirizzo bitcoin dell’attaccante dirottandone la transazione).
L’altro viene utilizzato per rilevare se la vittima sta accedendo o meno ad un sito Web di un istituto finanziario (sono previste 32 keyword riferite a più di venti istituti finanziari target sparsi in diversi paesi).
Come proteggersi
Contro questa tipologia di malware è consigliabile adottare alcune precise misure di sicurezza:
- una protezione antivirus adeguata al proprio parco macchine, aggiornando periodicamente le definizioni delle minacce ed i motori di scansione all’ultima versione disponibile;
- un Web filtering, impedendo agli utenti di visualizzare determinati URL e siti Web impostando sui browser dei filtri che impediscano di caricare pagine da questi siti;
- un Intrusion Protection System (IPS), controllando ad esempio i pacchetti in transito sulla rete e confrontandoli con gli ultimi schemi di attacco preconfigurati noti e disponibili.
È sempre utile, infine, adottare alcune best practice per prevenire attacchi di tipo phishing simili a quelli che stanno diffondendo la nuova variante del malware Metamorfo:
- controlliamo sempre i link e il mittente della mail prima di cliccare qualunque indirizzo. Meglio sarebbe se non cliccassimo affatto sul link, ma lo copiassimo invece nella barra indirizzi del browser senza ovviamente collegarci al sito corrispondente;
- prima di cliccare su un qualunque link, bisogna verificare che l’indirizzo mostrato è davvero lo stesso indirizzo Internet al quale il link condurrà. Un controllo che può essere effettuato in modo semplice: passando il mouse sopra il link stesso;
- è bene, inoltre, attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo.
- evitare, infine, di aprire gli allegati dei messaggi di posta elettronica sospetti e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
