Lo scorso mese di aprile i ricercatori dei Kaspersky Lab hanno identificato una nuova variante del bootkit Rovnix diffuso sottoforma di file .exe o .rar attraverso una campagna malspam relativa ad una falsa iniziativa della Banca Mondiale per il contrasto della pandemia di Covid-19.
Una volta attivo nel computer della vittima, Rovnix consente di prendere il controllo del sistema e avviare file eseguibili con parametri specifici, attivare il microfono e registrare l’audio ambientale e, infine, riavviare o spegnare la macchina compromessa.
Un bootkit, lo ricordiamo, è una cyber minaccia relativamente recente creata mettendo assieme le caratteristiche tecniche dei virus che infettano i settori di boot degli hard disk (i cosiddetti virus boot-sector) e quelle dei rootkit, codici malevoli che consentono di “comandare” a distanza il PC infetto.
Indice degli argomenti
I dettagli tecnici del bootkit Rovnix
La nuova variante del bootkit Rovnix (già conosciuta agli analisti di sicurezza informatica fin dal 2013) viene diffusa, come dicevamo, mediante e-mail che hanno per oggetto la frase (in russo) “sulla nuova iniziativa della Banca Mondiale in relazione alla pandemia di coronavirus”.
I file EXE e RAR allegati alle e-mail infette sono due archivi autoestraenti contenenti i file easymule.exe e 1211.doc. Il file easymule.exe contiene un’immagine bitmap che altro non è se non un file eseguibile che viene scompattato e caricato in memoria. Il documento DOC, invece, contiene effettivamente informazioni su una nuova iniziativa della Banca Mondiale e addirittura nei metadati vengono citati come autori veri e propri individui legati all’organizzazione stessa.
Nella nuova variante di Rovnix, inoltre, i criminal hacker hanno aggiunto un meccanismo che consente al malware di aggirare il controllo utente di Windows (lo User Account Control, UAC) sfruttando le API del sistema operativo.
In pratica, Rovnix è in grado di creare una falsa directory C:/Windows /System32 simile all’originale, ma che ha in realtà un differente percorso: questa cartella creata dal malware ha infatti uno spazio dopo Windows.
All’interno di questa nuova cartella, Rovnix copia il file eseguibile wusa.exe, ottenuto dal percorso legittimo di Windows. Il file viene quindi utilizzato per ottenere automaticamente i privilegi utente già assegnati alla vittima e che consentono al malware stesso di eludere proprio i controlli effettuati dall’UAC al momento della sua esecuzione.
A questo punto, Rovnix sfrutta una funzionalità di DLL hijacking per creare nella directory falsa anche una libreria (wtsapi32.dll) importata dal file legittimo. Nel momento in cui viene eseguita la copia del file legittimo wusa.exe (o meglio, il percorso ad esso collegato) dalla directory fasulla, viene richiamata l’API GetLongPathNameW che rimuove il carattere spazio dal percorso malevolo.
Così facendo, il file legittimo viene eseguito dalla directory falsa senza una richiesta UAC e carica una libreria dannosa chiamata wtsapi.dll.
Subito dopo, il bootkit avvia una routine che crea ed esegue una serie di file BAT che, a loro volta, avviano l’eseguibile wusa.exe dalla directory compromessa ed eliminano ogni traccia dell’infezione.
L’insieme di tutte queste caratteristiche consentono ai criminal hacker di eseguire diverse attività sul sistema Windows della vittima ed in particolare avviare file EXE utilizzando specifici parametri (anche per adattarne l’esecuzione all’ambiente in cui viene iniettato il codice malevolo), attivare il microfono per registrare l’audio ambientale, spegnere e riavviare la macchina.
Come riconoscere e difendersi dal virus
Le analisi condotte dai ricercatori dei Kaspersky Lab hanno permesso di individuare anche un modulo del bootkit Rovnix il cui nome (PcConnect.pdb) fa presumere che gli attori malevoli stiano impiegando tale malware come backdoor che potrebbe contenere strumenti sia di tipo trojan sia di tipo spyware utilizzabili per condurre attacchi mirati.
Gli stessi ricercatori, inoltre, fanno notare come anche vecchie minacce che ormai si crede innocue possono tornare a colpire in maniera massiccia in quanto i criminal hacker riescono a perfezionarne il comportamento malevolo partendo dalla base del codice sorgente originario e aggiungendo di volta in volta pericolose funzionalità.
Al momento, tutti i prodotti Kaspersky rilevano il bootkit Rovnix e i relativi moduli come Trojan.Win32.Cidox, Trojan.Win32.Generic, Trojan.Win32.Hesv e Trojan.Win32.Inject.
In alternativa, è possibile aggiungere i seguenti indicatori di compromissione (IoC) nei propri apparati di sicurezza:
MD5
- 7cfc801458d64ef92e210a41b97993b0
- e2a88836459088a1d5293ef9cb4b31b7
DOMAIN
- bamo.ocry[.]com:8433
- ruclient.dns04[.]com
- loge.otzo[.]com
- alex.dnset[.]com
- www[.]bamo.ocry[.]com
- www[.]loge.otzo[.]com
- edge.microft.dynssl[.]com
- www[.]0077.x24hr[.]com
- microft.dynssl[.]com
- www[.]microft.dynssl[.]com
IP|PORT
- 45.77.244[.]191|:8090|:9090|:5050
- 45.76.145[.]22|:8080
- 149.28.30[.]158|:443
- 139.180.188[.]215
