GootKit: nuovi metodi a livello di occultamento e persistenza all’interno del sistema

Come segnala Softpedia, riferendosi al report stilato da IBM X-Force, uno dei Trojan bancari maggiormente attivi, GootKit, è stato oggetto, nello scorso mese di giugno, di un massiccio aggiornamento, attraverso il quale è stato di nuovo modificato il codice sorgente di tale malware.

A differenza dei propri concorrenti, questo temibile banker, comparso “in-the-wild” nel 2014, non è mai stato concesso in affitto in qualità di servizio (Malware-as-a-Service), ed il suo codice sorgente non è stato mai reso pubblicamente accessibile. Secondo X-Force, gli operatori di GootKit controllano strettamente i tempi di conduzione degli attacchi e gli elenchi delle potenziali vittime, la maggior parte delle quali è rappresentata da clienti di istituti bancari europei, tra cui numerose persone giuridiche.

Il Trojan GootKit viene distribuito tramite noti exploit pack – Angler e Neutrino. Il malware in questione realizza il furto delle credenziali relative agli account di banking online presi di mira, mediante l’utilizzo di apposite web injection, sostituendo in pratica “al volo” il contenuto del browser. I suoi autori sono soliti profondere sempre notevoli sforzi per proteggere la loro “creatura” nei confronti del possibile rilevamento da parte delle soluzioni anti-malware e, a tale scopo, perfezionano costantemente il codice sorgente del Trojan.

Nel mese scorso, gli esperti del team X-Force hanno rilevato come i “padroni” di GootKit avessero nuovamente apportato significative modifiche al banker in causa: questi ultimi, in effetti, si sono “preoccupati” di rendere ancor più efficace, semplificandolo, il modulo preposto al furto dei dati video, sostituendo il formato MP4 con il più datato .ivf, con compressione LZMA; i malintenzionati, inoltre, hanno migliorato la funzionalità malevola che permette il rilevamento della presenza di eventuali virtual machine, strumenti abitualmente utilizzati per l’analisi del codice sospetto; è stata poi modificata anche la modalità di installazione del Trojan qui preso in esame.

Mentre in precedenza GootKit, al pari di molti dei banker attualmente in circolazione, si “affidava” ad un dropper, la cui funzione era quella di lanciare il file eseguibile sulla macchina infetta, tale malware, adesso, si limita ad iniettare una DLL malevola in un processo di propria scelta. Questo processo non è, in alcun modo, explorer.exe, utilizzato da quasi tutti i Trojan-banker, incluso la precedente versione di GootKit, bensì svchost.exe; molteplici copie di quest’ultimo, avviate contemporaneamente, permettono di complicare considerevolmente il compito svolto dagli scanner anti-virus.

Allo stesso modo, mentre in passato GootKit, per assicurare la propria persistenza, apportava modifiche nel registro di Windows, il Trojan si insedia, ora, all’interno del sistema in qualità di task pianificato, provvisto di nome arbitrario, se la relativa procedura di implementazione avviene in presenza di privilegi minimi (LUA), oppure come servizio di Windows – in tal caso sono richiesti i diritti di amministratore.

Nel primo caso il task malevolo viene in pratica eseguito ogni minuto, sotto forma di processo watchdog, così come dopo ogni caricamento, affinché GootKit possa mantenere la propria presenza all’interno della workstation sottoposta ad attacco, dopo la scansione anti-virus o l’installazione degli aggiornamenti di sistema. Se, invece, il malware si è insediato in qualità di servizio, esso viene avviato già prima dell’accesso dell’utente al sistema, per poi continuare ad operare anche dopo l’uscita dallo stesso. Il nome del servizio nocivo risulta randomizzato, in modo da non sollevare alcun sospetto da parte dell’utente che visualizza l’elenco dei processi in esecuzione, e allo scopo di eludere l’azione protettiva esercitata dal software anti-virus preposto ad eseguire la scansione.

La versione aggiornata di GootKit effettua la verifica dell’eventuale presenza della virtual machine in due fasi distinte. Prima di avviare la procedura di installazione del payload nocivo, il dropper esegue una ricerca dei valori associati alle VM (VMWare, VBOX, SONI e via dicendo), nel registro di sistema, sull’hard disk, nel BIOS, a livello di composizione dell’indirizzo MAC. Una volta individuate tali variabili, il malware si disattiva e trasmette un apposito report al C&C, affinché il botmaster possa intraprendere specifiche azioni in merito, quali, ad esempio, l’inserimento in blacklist di una determinata workstation.

Successivamente, alcune di tali verifiche in ambito VM vengono ripetute; ad esse, tuttavia, se ne aggiungono di nuove. Viene ad esempio effettuata la ricerca dei valori in questione nel registro degli eventi del BIOS, vengono confrontati i nomi assegnati alla CPU con quelli presenti nella whitelist (le macchine virtuali, di solito, assegnano al nucleo del processore un nome non standard). Nella circostanza, viene ugualmente verificata la presenza di hard disk con interfaccia IDE e SCSI.

L’analisi del file di configurazione di GootKit ha evidenziato come tale malware attacchi, prevalentemente, banche francesi e britanniche, sebbene il Trojan si interessi anche ad alcuni istituti bancari italiani e spagnoli. Nel complesso, la diffusione di GootKit è, per il momento, decisamente contenuta; a tale banker, secondo i dati resi noti da IBM, risulta attribuibile solo il 4% del volume totale degli attacchi informatici condotti attraverso l’utilizzo di malware finanziari.

Fonte: Softpedia

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *