Un trojan-RAT confezionato ad arte da probabili fan di Tom & Jerry

I ricercatori di Forcepoint, società specializzata in sicurezza IT, hanno identificato un temibile trojan-RAT (Remote Access Trojan), che, a giudicare dalla data di compilazione, viene utilizzato in-the-wild da non meno di sei mesi, anche se la sua presenza appare molto limitata; si tratta, ad ogni caso, di un software nocivo in grado di eludere piuttosto abilmente il rilevamento da parte delle soluzioni di sicurezza.

Secondo quanto riferiscono gli esperti, questo insidioso malware Windows, battezzato con il curioso nome di Felismus, è dotato di architettura modulare, ed è scritto in maniera estremamente “professionale”. Le funzionalità di cui è provvisto sono quelle tipiche dei programmi Trojan riconducibili a questa specifica tipologia: Felismus è in grado di realizzare l’upload e il download di file, lanciare l’esecuzione degli stessi, auto-aggiornarsi ed eseguire comandi shell.

È di particolare interesse rilevare come gli autori di questo nuovo programma malware abbiano cercato sia di proteggere nel miglior modo possibile la propria “creatura” nei confronti delle eventuali analisi, sia di occultare le comunicazioni “operative”. I test condotti hanno di fatto evidenziato che Felismus sa riconoscere numerosi prodotti anti-virus, e si dimostra particolarmente abile nel contrastare il possibile rilevamento. I suoi codici e le sue DLL eseguibili risultano ben protetti nei confronti di eventuali analisi e del reverse engineering, mentre la maggior parte dei messaggi che il trojan scambia con il proprio C&C viene codificata per ben due volte, e con chiavi diverse.

I primi sample di Felismus sottoposti ad analisi apparivano mascherati sotto forma di un file eseguibile, denominato “AdobeCMS.exe”. Al momento della loro individuazione, queste imitazioni venivano rilevate soltanto da nove dei 60 anti-virus presenti nella “collezione” di VirusTotal; attualmente, i file maligni in questione vengono invece riconosciuti come dannosi da poco più della metà delle suddette soluzioni anti-malware.

Una volta lanciati, tutti i sample creavano una sorta di finestra invisibile, e provvedevano a registrare, per essa, la funzione WindowProc, allo scopo di assicurare l’implementazione delle principali attività dannose: download di file da un server remoto, creazione di file di testo sul computer locale, esecuzione di file, esecuzione di comandi shell e salvataggio dei risultati su disco, caricamento sul server remoto dei risultati relativi all’esecuzione del precedente eseguibile “cmd.exe”. L’elenco dei prodotti anti-virus, i cui processi venivano monitorati dal sample di Felismus sottoposto a specifico test, conteneva ben 45 diverse posizioni.

Molti degli identificatori interni utilizzati dal trojan (ID della vittima, ID dei moduli, chiavi di codifica) sono risultati essere creati sulla base degli hash MD5 di altri componenti. È stata individuata soltanto una chiave di crittografia leggibile – Tom&Jerry@14here; essa ha suggerito agli esperti, in maniera evidente, i nomi rivelatori: “felis” e “mus”, in latino, significano, rispettivamente, “gatto” e “topo” (come specie). Per criptare il traffico C&C, Felismus si avvale di almeno tre diversi metodi di cifratura, a seconda del tipo di comunicazione da effettuare. L’infrastruttura di comando e controllo del malware è attiva e, a quanto pare, viene accuratamente gestita; le relative operazioni di manutenzione, ad esempio, sembrano essere svolte con notevole assiduità.

Una serie di domini associati a questa minaccia IT restituisce una pagina WordPress.org fasulla, risalente al 2013, la quale contiene numerosi dati falsificati; si tratta, in particolar modo, di numeri telefonici di Hong Kong non validi, e di indirizzi stradali inesistenti, forniti in qualità di contatto. Gli indirizzi e-mail di cui è stato fatto uso per registrare i domini, secondo i dati di cui è in possesso Forcepoint, non vengono più utilizzati, online, da nessuna parte.

Nel corso dei test, il sample analizzato ha eseguito un numero molto limitato di funzioni, ed ha generato, a livello di registro di sistema, solo alcune entry univoche. Le ragioni alla base di tutto questo, secondo gli esperti, potrebbero essere due: la cyber-campagna malevola era, in quel momento, in stato di “quiescenza”, oppure il comportamento del malware appare diverso a seconda delle caratteristiche peculiari della macchina infetta. I ricercatori hanno inoltre osservato come il server C&C di Felismus avesse bloccato in modo selettivo uno degli IP di uscita utilizzati dalla società nell’ambito delle indagini effettuate.

Non appaiono chiari, per il momento, gli effettivi scopi che si prefiggono gli attaccanti. Tre dei cinque domini associati all’indirizzo IP del centro di comando C&C possono essere potenzialmente ricondotti, in base alla loro denominazione, al settore dei servizi finanziari. Non sono stati ugualmente individuati elementi, o evidenti segnali di correlazione, da parte di Felismus, con note campagne APT. L’insolito nome di una delle cartelle rilevate, “datas”, ed un chiaro errore di battitura nel nome di una funzione, “GetCurrtenUserName”, possono suggerire il fatto che non sia l’inglese la lingua madre degli autori del programma trojan in causa. I sample analizzati da Forcepoint sono stati creati, con ogni probabilità, mediante l’utilizzo di una versione – rilasciata nel mese di dicembre del 2014 – della suite di compilazione open-source denominata TDM-GCC.

http://www.securityweek.com/modular-felismus-rat-emerges

Un trojan-RAT confezionato ad arte da probabili fan di Tom & Jerry

I ricercatori di Forcepoint hanno identificato il trojan-RAT Felismus, che viene utilizzato in maniera mirata, in-the-wild, da non meno di sei mesi, ed è in grado di eludere piuttosto abilmente il rilevamento.

Un malware modulare Windows viene utilizzato in maniera mirata, in-the-wild, da non meno di sei mesi, ed è in grado di eludere piuttosto abilmente il rilevamento.

Fonte: Threatpost

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *