Kasidet, il bot scaricato attraverso le macro di Office

È stato già dimostrato, numerose volte, come i malintenzionati abbiano sensibilmente ravvivato il loro interesse nei confronti delle macro di Microsoft Office, ed utilizzino attivamente queste ultime per recapitare agli utenti-vittima temibili malware bancari; negli ultimi tempi, poi, i cybercriminali sono soliti distribuire, attraverso tali macro, anche il Trojan BlackEnergy. Di recente, alcuni ricercatori di zScaler, nota società californiana specializzata in sicurezza IT, hanno rilevato come facciano uso dello stesso identico vettore coloro che diffondono il bot Kasidet, altrimenti conosciuto come Neutrino.

I documenti Office malevoli vengono distribuiti sotto forma di allegati ad e-mail di spear-phishing; secondo quanto osservato da zScaler, questo spam a “tiratura” limitata è divenuto particolarmente aggressivo proprio nel corso delle ultime due settimane. È inoltre di particolare interesse il fatto che, oltre al bot Kasidet, il medesimo dropper VBA genera il download del banker Dridex.

Il malware Kasidet è noto sin dal 2013; fino a poco tempo fa, tuttavia, esso veniva principalmente utilizzato per la conduzione di attacchi DDoS. La variante osservata da zScaler è invece provvista di funzionalità più ampie; spiccano, tra di esse, quelle preposte al furto dei dati sensibili. Allo stesso tempo, il malware in questione è in grado di carpire informazioni di natura confidenziale sia dai browser (intercettando le API), sia dalla memoria dei sistemi PoS (il relativo modulo, a quanto si dice, è stato aggiunto nel mese di settembre dello scorso anno). È ugualmente interessante notare come i nomi dei browser Firefox, Chrome e IE vengano custoditi nel codice del malware in veste cifrata, per mezzo della stessa identica funzione hash precedentemente utilizzata, per il medesimo scopo, dal programma Trojan Carberp.

Il nuovo Kasidet è poi in grado di monitorare l’impiego di strumenti di analisi, quali debugger, sandbox, virtual machine. Tutti i dati sottratti, così come le informazioni relative al sistema infetto, vengono trasmessi dal bot ai relativi server C&C, il cui elenco si trova, sotto forma di URL cifrati, nel codice stesso del malware.

Presentando i risultati dell’analisi condotta, i ricercatori sottolineano come il download congiunto di Kasidet e Dridex non significhi, in alcun modo, che le campagne malevole possano essere correlate tra loro. “I file Office dannosi rappresentano, per i virus writer, un vettore particolarmente popolare, a livello di distribuzione dei payload nocivi, – scrivono i ricercatori nel report da essi stilato. – Gli autori di Dridex si avvalgono di tale tecnica da oltre un anno. È stato indubbiamente interessante rilevare che la stessa campagna, con gli stessi identici URL, viene utilizzata anche per la diffusione di Kasidet”.

I malintenzionati che distribuiscono Dridex hanno inserito nel proprio “arsenale” le macro di Office verso la fine del 2014; inizialmente, essi hanno utilizzato il formato Excel, mentre in seguito sono passati ai file XML. Nel mese di ottobre Invincea aveva osservato un nuovo repentino aumento delle attività condotte dal malware Dridex sul territorio della Francia; all’inizio del mese scorso, invece, i ricercatori di IBM hanno individuato una nuova versione del banker destinata a colpire le banche britanniche. In tutti i casi esaminati, per recapitare il Trojan erano state utilizzate macro specifiche, sebbene le stesse, da tempo, risultassero disabilitate di default; questo fa sì che i malfattori, in tali circostanze, debbano necessariamente indurre l’utente-vittima ad attivare manualmente le macro. A quanto pare, il vettore sopra descritto, a livello di distribuzione del malware, si è rivelato, sinora, estremamente efficace.

Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *