News

GootKit: nuovi metodi a livello di occultamento e persistenza all’interno del sistema

Come segnala Softpedia, riferendosi al report stilato da IBM X-Force, uno dei Trojan bancari maggiormente attivi, GootKit, è stato oggetto, nello scorso mese di giugno, di un massiccio aggiornamento, attraverso il quale è stato di nuovo modificato il codice sorgente di tale malware.

A differenza dei propri concorrenti, questo temibile banker, comparso “in-the-wild” nel 2014, non è mai stato concesso in affitto in qualità di servizio (Malware-as-a-Service), ed il suo codice sorgente non è stato mai reso pubblicamente accessibile. Secondo X-Force, gli operatori di GootKit controllano strettamente i tempi di conduzione degli attacchi e gli elenchi delle potenziali vittime, la maggior parte delle quali è rappresentata da clienti di istituti bancari europei, tra cui numerose persone giuridiche.

Il Trojan GootKit viene distribuito tramite noti exploit pack – Angler e Neutrino. Il malware in questione realizza il furto delle credenziali relative agli account di banking online presi di mira, mediante l’utilizzo di apposite web injection, sostituendo in pratica “al volo” il contenuto del browser. I suoi autori sono soliti profondere sempre notevoli sforzi per proteggere la loro “creatura” nei confronti del possibile rilevamento da parte delle soluzioni anti-malware e, a tale scopo, perfezionano costantemente il codice sorgente del Trojan.

Nel mese scorso, gli esperti del team X-Force hanno rilevato come i “padroni” di GootKit avessero nuovamente apportato significative modifiche al banker in causa: questi ultimi, in effetti, si sono “preoccupati” di rendere ancor più efficace, semplificandolo, il modulo preposto al furto dei dati video, sostituendo il formato MP4 con il più datato .ivf, con compressione LZMA; i malintenzionati, inoltre, hanno migliorato la funzionalità malevola che permette il rilevamento della presenza di eventuali virtual machine, strumenti abitualmente utilizzati per l’analisi del codice sospetto; è stata poi modificata anche la modalità di installazione del Trojan qui preso in esame.

Mentre in precedenza GootKit, al pari di molti dei banker attualmente in circolazione, si “affidava” ad un dropper, la cui funzione era quella di lanciare il file eseguibile sulla macchina infetta, tale malware, adesso, si limita ad iniettare una DLL malevola in un processo di propria scelta. Questo processo non è, in alcun modo, explorer.exe, utilizzato da quasi tutti i Trojan-banker, incluso la precedente versione di GootKit, bensì svchost.exe; molteplici copie di quest’ultimo, avviate contemporaneamente, permettono di complicare considerevolmente il compito svolto dagli scanner anti-virus.

Allo stesso modo, mentre in passato GootKit, per assicurare la propria persistenza, apportava modifiche nel registro di Windows, il Trojan si insedia, ora, all’interno del sistema in qualità di task pianificato, provvisto di nome arbitrario, se la relativa procedura di implementazione avviene in presenza di privilegi minimi (LUA), oppure come servizio di Windows – in tal caso sono richiesti i diritti di amministratore.

Nel primo caso il task malevolo viene in pratica eseguito ogni minuto, sotto forma di processo watchdog, così come dopo ogni caricamento, affinché GootKit possa mantenere la propria presenza all’interno della workstation sottoposta ad attacco, dopo la scansione anti-virus o l’installazione degli aggiornamenti di sistema. Se, invece, il malware si è insediato in qualità di servizio, esso viene avviato già prima dell’accesso dell’utente al sistema, per poi continuare ad operare anche dopo l’uscita dallo stesso. Il nome del servizio nocivo risulta randomizzato, in modo da non sollevare alcun sospetto da parte dell’utente che visualizza l’elenco dei processi in esecuzione, e allo scopo di eludere l’azione protettiva esercitata dal software anti-virus preposto ad eseguire la scansione.

La versione aggiornata di GootKit effettua la verifica dell’eventuale presenza della virtual machine in due fasi distinte. Prima di avviare la procedura di installazione del payload nocivo, il dropper esegue una ricerca dei valori associati alle VM (VMWare, VBOX, SONI e via dicendo), nel registro di sistema, sull’hard disk, nel BIOS, a livello di composizione dell’indirizzo MAC. Una volta individuate tali variabili, il malware si disattiva e trasmette un apposito report al C&C, affinché il botmaster possa intraprendere specifiche azioni in merito, quali, ad esempio, l’inserimento in blacklist di una determinata workstation.

Successivamente, alcune di tali verifiche in ambito VM vengono ripetute; ad esse, tuttavia, se ne aggiungono di nuove. Viene ad esempio effettuata la ricerca dei valori in questione nel registro degli eventi del BIOS, vengono confrontati i nomi assegnati alla CPU con quelli presenti nella whitelist (le macchine virtuali, di solito, assegnano al nucleo del processore un nome non standard). Nella circostanza, viene ugualmente verificata la presenza di hard disk con interfaccia IDE e SCSI.

L’analisi del file di configurazione di GootKit ha evidenziato come tale malware attacchi, prevalentemente, banche francesi e britanniche, sebbene il Trojan si interessi anche ad alcuni istituti bancari italiani e spagnoli. Nel complesso, la diffusione di GootKit è, per il momento, decisamente contenuta; a tale banker, secondo i dati resi noti da IBM, risulta attribuibile solo il 4% del volume totale degli attacchi informatici condotti attraverso l’utilizzo di malware finanziari.

Fonte: Softpedia

GootKit: nuovi metodi a livello di occultamento e persistenza all’interno del sistema

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

 

Report

Evoluzione dei malware mobile – 2016

Ha continuato a crescere in maniera davvero sensibile, nel corso del 2016, il numero dei Trojan pubblicitari in grado di utilizzare i diritti di superutente. Si è trattato, lungo tutto l’arco dell’anno, della minaccia informatica numero 1; al momento attuale non scorgiamo, peraltro, validi motivi ed argomenti che lascino intravedere qualche cambiamento riguardo a tale specifica tendenza.

Lo spam nell’anno 2016

Nel 2016, all’interno dei flussi di spam, si sono verificati diversi cambiamenti; tra di essi, quello più significativo riguarda il sensibile aumento del numero di mailing di massa preposte alla distribuzione dei temibili programmi ransomware. Considerando l’effettiva disponibilità, sul mercato nero, di simili software nocivi, è presumibile che tale tendenza continui a manifestarsi anche nell’anno in corso.

Kaspersky Security Bulletin 2016. Rassegna annuale. Le statistiche dell’anno 2016

Il 2016 è stato, nell’ambito della cyber sicurezza, un anno davvero intenso e turbolento, caratterizzato da imponenti botnet IoT, ransomware, attacchi mirati di cyber spionaggio, ingenti furti nella sfera finanziaria, “hacktivismo” e molto altro ancora. Il Kaspersky Security Bulletin 2016 e il report Statistics di Kaspersky Lab forniscono un quadro dettagliato della situazione; qui, invece, si può leggere l’Executive Summary.

Kaspersky Security Bulletin 2016. La rivoluzione del ransomware

Tra gennaio e settembre 2016 gli attacchi ransomware diretti alle imprese sono aumentati di tre volte, fino all’equivalente di un attacco ogni 40 secondi. Con il boom del ransomware-as-a-service, ed il lancio del progetto NoMoreRansom, Kaspersky Lab ha definito il ransomware come il proprio “tema chiave” per il 2016.

Iscriviti alle nostre e-mail settimanali

La ricerca più all'avanguardia, direttamente nella tua inbox