Macro dannose negli attacchi mirati

I ricercatori di Palo Alto Networks lanciano un segnale d’allarme riguardo alla recente comparsa di temibili mailing di spam a carattere mirato, volti a distribuire malware di tipo fileless attraverso documenti Word allegati ai messaggi di posta elettronica, contenenti macro malevole. Fino a poco tempo fa, venivano diffusi in tal modo soltanto i Trojan bancari, quali, ad esempio, Dridex e Dyre; questo “antico” metodo, tuttavia – che sembra non aver perso la propria efficacia – viene talvolta utilizzato anche per distribuire altri software nocivi, come lo stealer di informazioni Grabit, lo spyware BlackEnergy, il bot Kasidet, il cryptoblocker Locky.

Nel caso specifico qui esaminato, le e-mail maligne – secondo Palo Alto – vengono diffuse con “tiratura” decisamente limitata; il loro target è rappresentato da indirizzi di posta aziendali relativi a società americane, canadesi ed europee. Le e-mail in questione vengono abilmente mascherate sotto forma di messaggi utilizzati nell’ambito lavorativo; esse contengono il corretto nome del destinatario, così come alcune informazioni riguardanti l’organizzazione per la quale opera quest’ultimo. Le brevi informazioni presenti sui messaggi malevoli, ricavate, con ogni probabilità, da fonti pubblicamente accessibili, risultano comunque sufficienti per far sì che l’utente-vittima ritenga attendibile l’e-mail ricevuta, e sia quindi indotto a visualizzare il documento ad essa allegato.

Aprendo il file dannoso, ed accogliendo la richiesta relativa all’attivazione della macro (disabilitata di default), viene avviata l’esecuzione di un’istanza nascosta di “powershell.exe” con specifici argomenti (parametri) a livello di riga di comando. Il comando PowerShell eseguito in tale circostanza risulta preposto all’identificazione dell’architettura di Windows (a 32 bit o 64 bit); in funzione del risultato ottenuto, viene poi effettuato il download di uno script PowerShell aggiuntivo, contenente shellcode.

Questo payload compie tutta una serie di verifiche sulla macchina infetta, determinando il grado di “ostilità” dell’ambiente di esecuzione (virtual machine, sandbox, debugger), così come l’effettivo “valore” del target preso di mira. Ricorrendo all’utilizzo di apposite blacklist e whitelist, il malware provvede a ricercare, nelle impostazioni di rete della vittima, quelle stringhe che permettono di identificare il profilo della macchina sottoposta ad attacco; viene inoltre eseguita la scansione degli URL presenti nella cache, allo scopo di rilevare determinati siti web di natura finanziaria, e nomi quali Citrix, XenApp, dana-na (cartella condivisa contenente gli URL interni, creata nelle implementazioni VPN di Juniper).

“Sembra proprio che questo malware, nei limiti del possibile, cerchi di evitare di andare a colpire le macchine utilizzate dai medici in ambiente ospedaliero, così come i computer di cui viene fatto uso nella sfera dell’istruzione; esso attacca, invece, le macchine attraverso le quali vengono eseguite transazioni finanziarie, – concludono i ricercatori. Tecniche analoghe erano state individuate, verso la metà del 2015, relativamente ad una famiglia di programmi malware denominata Ursnif”.

Il malware in causa invia i risultati delle verifiche effettuate al proprio centro di comando e controllo. Se l’obiettivo sottoposto ad attacco risulta interessante per i malintenzionati, il server C&C restituisce un file DLL cifrato, il quale viene temporaneamente memorizzato su disco, e viene poi eseguito utilizzando una chiamata a rundll32.exe.

I ricercatori hanno denominato tale malware PowerSniff; uno dei sample del software nocivo è stato ugualmente analizzato presso l’Internet Storm Center del SANS Institute. Secondo Palo Alto, il raggio d’azione della suddetta campagna malevola è, per il momento, piuttosto limitato: in effetti, sono stati sinora individuati, all’incirca, soltanto 1.500 messaggi di spam.

Fonte: Networkworld

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *