Il Trojan bancario Vawtrak introduce l’utilizzo di un algoritmo DGA e del pinning dei certificati SSL

Nel corso di queste ultime settimane, gli attacker che si celano dietro al famigerato Trojan bancario denominato Vawtrak, hanno continuato a dimostrarsi particolarmente attivi, visto che tali malintenzionati hanno provveduto ad aggiornare significativamente il malware in questione, arricchendolo di un algoritmo per la generazione dei nomi di dominio (DGA – Domain Generation Algorithm), e di specifiche funzionalità di convalida dei certificati SSL (SSL pinning).

La ricerca pubblicata alcuni giorni fa da Fidelis, società specializzata in sicurezza IT, illustra in dettaglio gli update eseguiti, rivelando, tra l’altro, l’esatto modo in cui l’algoritmo DGA adottato da Vawtrak genera i nomi di dominio, si connette ad essi e convalida i relativi certificati. Nella circostanza, i ricercatori hanno posto sotto la “lente di ingrandimento” due sample di tale software nocivo, individuati lo scorso 28 luglio ed il successivo 1° agosto.

L’ultima versione di Vawtrak introduce, relativamente alla struttura di comando e controllo, una singolare procedura, suddivisa in due fasi ben distinte. In pratica, il sito ospitato nel dominio generato attraverso l’algoritmo DGA fornisce, a sua volta, un elenco di domini utilizzati, in alternanza, per il server di comando e controllo, mentre il primo dominio attivo restituisce un altro elenco statico.

“Per complicare ulteriormente questa nuova procedura di handoff riguardo al C2 (centro di comando e controllo), gli sviluppatori hanno aggiunto un’altra sezione, la quale, una volta decodificata, presenta un elenco di domini adibiti alla funzione di C2, che il bot utilizzerà ugualmente per le comunicazioni intrattenute con il server C&C”, si afferma nel report stilato da Jason Reeves, di Fidelis.

I ricercatori di PhishLabs hanno altresì scoperto, alla fine dello scorso mese di luglio, che il malware in causa stava utilizzando un algoritmo DGA per identificare il proprio server di comando e controllo. La ricerca condotta da Fidelis, tuttavia, si spinge oltre, descrivendo esattamente il modo in cui gli esperti di tale società sono riusciti ad effettuare il reverse engineering dell’algoritmo.

Non risulta chiaro il motivo per il quale gli autori di Vawtrak abbiano fatto trascorrere così tanto tempo, prima di implementare un DGA, visto che si tratta di una tecnica comunemente utilizzata in tutto il panorama del cybercrimine (soprattutto a livello di botnet); gli esperti all’opera presso la suddetta società suggeriscono, tuttavia, che la ragione sia da ricercare nel fatto che i precedenti tentativi realizzati dai malfattori potrebbero essere stati interrotti.

“Non abbiamo un’idea specifica della ragione per cui i malintenzionati abbiano adottato un algoritmo DGA proprio in questo preciso momento; tale circostanza, ad ogni caso, potrebbe essere correlata all’interruzione delle precedenti campagne malevole, determinata dal fatto che le infrastrutture utilizzate potrebbero essere state sequestrate o sottoposte a procedure di sinkholing”, ha dichiarato lunedì scorso, a Threatpost, Hardik Modi, direttore della divisione Threat Research allestita da Fidelis Cybersecurity, “Si tratterebbe, nella circostanza, di una logica risposta nei confronti di azioni del genere, compiute dalle forze dell’ordine o da altri ricercatori operanti nel campo della sicurezza IT”.

Secondo quanto riferisce la società qui sopra menzionata, in aggiunta all’implementazione di un algoritmo DGA, il Trojan ha ugualmente adottato il controllo, o per meglio dire il “pinning” dei certificati SSL, un elemento che consente al malware di bypassare potenziali situazioni di tipo “man-in-the-middle” relativamente agli SSL. Il pinning SSL, di solito, aggiunge uno step in più alla procedura di convalida dei certificati, allo scopo di garantire che la connessione sia sicura ed affidabile.

I ricercatori sostengono che la più recente DLL di Vawtrak sia provvista del codice necessario per stabilire una connessione HTTPS, verosimilmente allo scopo di proteggere le comunicazioni con il server di comando e controllo. Oltre a questo, il Trojan è ugualmente in grado di verificare il certificato che esso riceve dal server C&C. Nel report stilato dalla società Fidelis si legge, a tal proposito:

Esso somma tutti i caratteri presenti nel Common Name, poi divide il byte per 0x1a, ed aggiunge 0x61; questo dovrebbe corrispondere, di fatto, al primo carattere (Figura 5). Esso ricorre ugualmente all’utilizzo di una chiave pubblica, ricavata dall’intestazione dell’inject iniziale citato in precedenza, per verificare l’hash della firma trasferito nel campo SubjectKeyIdentifier del certificato.

Secondo Hardik Modi, mentre l’utilizzo di un algoritmo DGA risulta essere una pratica piuttosto standard, per programmi Trojan quali Vawtrak, la tecnica di cui quest’ultimo fa uso per controllare i certificati si trova ancora al suo stadio iniziale.

“Per quel che ci risulta, essa viene ancora scarsamente utilizzata”, ha dichiarato Modi, aggiungendo poi che il suo team ha osservato un maggior impiego della stessa nell’ambito degli strumenti di spionaggio mirato, anziché nel quadro delle attività cybercriminali di più ampia portata.

Non è ad ogni caso troppo sorprendente il fatto che, per coprire le proprie tracce, i criminali abbiano deciso di apportare significative modifiche al Trojan Vawtrak, talvolta identificato come Neverquest. I malintenzionati che tengono le fila del Trojan in causa hanno in pratica fatto di tutto, nel corso di questi ultimi anni, per cercare di occultare i loro server. Nello scorso mese di giugno, ad esempio, i ricercatori hanno osservato come il malware Vawtrak stesse nascondendo alcuni dei propri server nei meandri della rete Tor2Web, allo scopo di riuscire ad eludere meglio il possibile rilevamento.

Hardik Modi ha riferito che il Trojan è stato diffuso, principalmente, attraverso e-mail di spam nocivo; l’esperto di Fidelis Cybersecurity, ad ogni caso, ha anche affermato che Vawtrak è stato ugualmente distribuito tramite i famigerati exploit kit.

“I cybercriminali, probabilmente, intendono “misurare” l’effettivo successo ottenuto, prima di trasferire il nuovo “equipaggiamento” nell’ambito degli exploit pack”, ha infine aggiunto Modi.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *