L’evoluzione del Malware Brasiliano

Contenuti

Vedi la versione completa dell’articolo (in inglese)

Il malware brasiliano è in costante evoluzione, giorno dopo giorno; i cybercriminali insediati nel Paese sudamericano stanno di fatto divenendo, sempre di più, veri e propri professionisti. Ci proponiamo di illustrare, in questo post, i numerosi cambiamenti che hanno coinvolto le tecniche nocive utilizzate dai criminali informatici brasiliani; questi ultimi, infatti, si avvalgono in misura sempre maggiore di tecnologie avanzate, caratterizzate da un livello di complessità crescente. Abbracciando con lo sguardo l’intero panorama, possiamo notare come essi stiano perfezionando sempre di più le loro tecniche, con il preciso intento di estendere il ciclo di vita del malware e aumentare, di conseguenza, i profitti illeciti realizzati.

Qualche tempo fa, analizzare e rilevare il malware brasiliano era qualcosa che poteva essere fatto in tempi piuttosto rapidi, vista la totale assenza di offuscamento, tecniche anti-debugging, crittografia; le comunicazioni, inoltre, si svolgevano esclusivamente sotto forma di semplice testo. Il codice stesso veniva di solito scritto in Delphi e Visual Basic 6, con numerose immagini di considerevoli dimensioni al proprio interno; questo rendeva davvero enorme il file dannoso, per non parlare poi della scarsa capacità di gestione delle eventuali eccezioni, la quale determinava frequenti e inevitabili crash del processo.

Attualmente, lo scenario non è più lo stesso: i cyber criminali, infatti, stanno investendo tempo e denaro nello sviluppo di soluzioni in cui il payload nocivo risulti completamente nascosto, attraverso l’utilizzo di un’ampia varietà di tecniche di offuscamento e protezione del codice. I cybercriminali, certamente, fanno ancora uso di Delphi e VB, ma, allo stesso tempo, hanno adottato altri linguaggi, quali, ad esempio, .NET; la qualità del codice nocivo sviluppato dai virus writer è molto migliore rispetto al recente passato: appare quindi evidente come i criminali informatici brasiliani siano passati, in questi ultimi tempi, ad un nuovo, superiore livello.

Ecco cosa potevamo trovare, di solito, qualche tempo fa

Keylogger

Inizialmente, i primi sample di malware utilizzati per carpire le informazioni sensibili relative alla sfera bancaria degli utenti altro non erano che semplici keylogger; la maggior parte di essi faceva uso di codice pubblicamente disponibile, ad eccezione di alcune personalizzazioni di minore entità, realizzate allo scopo di “registrare” esclusivamente specifiche situazioni. Tutto questo, allora, risultava sufficiente, visto che i siti web dedicati al banking online non ricorrevano ad alcun tipo di protezione nei confronti di tale minaccia.

Trojan e Phishing

Dopo l’introduzione, da parte delle banche, delle tastiere virtuali nell’ambito dei propri sistemi, l’utilizzo dei keylogger si è rivelato non più efficace. Per bypassare queste protezioni, i criminali brasiliani hanno iniziato a sviluppare programmi malware di tipo mouselogger e, successivamente, insidiosi Trojan, dispiegati nell’ambito di subdole operazioni di phishing. All’epoca, il malware non ricorreva all’utilizzo di alcun tipo di crittografia o codifica: tutte le stringhe si presentavano sotto forma di semplice testo, rendendo decisamente più agevole l’analisi delle stesse.

Host

Per realizzare il furto delle informazioni confidenziali, senza dover necessariamente facilitare l’identificazione dei Trojan dedicati al phishing, i malintenzionati hanno poi iniziato a redirigere gli utenti verso pagine web dannose, modificando il file hosts in maniera tale da risolvere i nomi di dominio inerenti al banking online a livello di server hardcoded. In questo modo il malware responsabile dell’infezione ha di sicuro maggiori probabilità di risultare invisibile all’utente-vittima, aumentando quindi le chance, per i malfattori, di condurre a buon fine l’attacco.

Anti-rootkit

In questa fase i cybercriminali si sono resi conto del fatto che le soluzioni anti-malware ed i plugin di sicurezza implementati nell’Internet banking stavano rendendo ben più difficile il loro lavoro. Essi hanno così iniziato a concentrare gli sforzi sulla rimozione delle soluzioni di sicurezza prima di eseguire il payload nocivo, allo scopo di aumentare le possibilità di successo relativamente all’esecuzione del malware, e far quindi permanere quest’ultimo il più a lungo possibile sulla macchina infetta.

Bootloader nocivi

Dopo aver utilizzato gli anti-rootkit i cybercriminali brasiliani sono andati ancora più a fondo, ed hanno cominciato a sviluppare i loro propri bootloader, fatti su misura, con il solo scopo di rimuovere le soluzioni di sicurezza dalla macchina dell’utente. Nella circostanza, il downloader ha il compito di installare i file dannosi, per poi riavviare la macchina. Dopo il reboot, il bootloader nocivo può rimuovere i file desiderati dal sistema.

Questo, invece, è ciò che abbiamo attualmente

Automazione

La maggior parte delle banche utilizzava l’identificazione della macchina, al fine di prevenire tentativi non autorizzati, volti ad eseguire operazioni attraverso l’impiego delle informazioni rubate. Per bypassare tutto questo, i cyber criminali hanno iniziato ad effettuare le operazioni nocive direttamente dalla macchina infetta, utilizzando l’Internet Explorer Automation (in precedenza automazione OLE) per interagire con il contenuto della pagina.

I primi sample che hanno fatto uso di questo tipo di attacco sono risultati essere dei Browser Helper Objects (BHO), in grado di rilevare una transazione con trasferimento di denaro, e di cambiare, poi, l’account di destinazione, inviando il relativo importo all’aggressore, anziché verso la reale destinazione. In seguito, lo stesso identico metodo è stato ampiamente utilizzato nell’ambito dei famigerati attacchi Boleto, in cui i criminali informatici sono ricorsi all’impiego dell’automazione per ottenere il codice a barre immesso, successivamente sostituito con un codice a barre fraudolento.

I suddetti sample presentavano l’offuscamento delle stringhe, il rilevamento del debugger e della virtual machine; questo significa che gli stessi non sono così facili da identificare, al contrario degli attacchi in cui vengono dispiegati Trojan di phishing ed host nocivi.

Offuscamento del codice e RunPE

Nel ricercare nuovi metodi per eludere il rilevamento del malware, i cyber criminali brasiliani hanno iniziato ad avvalersi di tecniche di offuscamento, allo scopo di nascondere le porzioni di codice preposte all’esecuzione delle principali operazioni dannose. Era ben chiaro, a questo punto, che i malfattori agivano, ormai, su un livello completamente diverso, essendo passati dall’utilizzo di codice “da principianti” a sviluppi decisamente più “professionali”; ci siamo quindi resi conto che era giunto il momento di aggiornare il processo di analisi del malware brasiliano. Siamo peraltro sicuri del fatto che gran parte di tale evoluzione sia stata il frutto di contatti e scambi di specifiche conoscenze con altre scene del malware mondiale, in particolar modo quelle riconducibili all’Europa Orientale, come da noi descritto in questo articolo.

Crypto AutoIt

AutoIt viene spesso utilizzato, attualmente, come downloader e “crypto” per il payload finale, al fine di eludere il possibile rilevamento. Dopo essere stato compilato, lo script AutoIt viene codificato e incorporato nel file binario appositamente generato; questo fa sì che si renda poi necessario estrarre lo script originale prima di poterne analizzare il codice.

Ricercando un metodo migliore per occultare il payload finale, i cybercriminali brasiliani hanno sviluppato un nuovo crypto, utilizzando il linguaggio AutoIt, dove il payload, una volta decodificato, viene eseguito grazie all’impiego di una tecnica RunPE.

L'evoluzione del Malware Brasiliano

Flusso di esecuzione Crypto Autoit

Il crypto si avvale di due diversi metodi per memorizzare il file cifrato: il primo viene realizzato tramite la funzione FileInstall, che esiste già in AutoIt; l’altra modalità viene messa in atto incorporando il file nella parte finale del binario.

L’utilizzo di AutoIt per lo sviluppo di programmi malware non rappresenta di certo un elemento di novità; verso la metà del 2014, ad ogni caso, abbiamo assistito, in Brasile, ad una vera e propria ondata di attacchi in cui i criminali sono ricorsi all’impiego di AutoIt.

Database MSIL

Un altro tipo di malware comparso di recente è rappresentato dal malware sviluppato in .NET, anziché Visual Basic 6.0 e Delphi, seguendo una tendenza da noi osservata su scala mondiale. Non è affatto difficile imbattersi in un downloader scritto in .NET.

Crypto MSIL

Seguendo lo stesso metodo utilizzato nel caso del Crypto Autoit, i malintenzionati hanno sviluppato un ulteriore crypto, servendosi, questa volta, del linguaggio .NET. Il processo relativo all’estrazione dell’effettivo file eseguibile è, di fatto, quasi identico a quello che si può osservare nel Crypto Autoit; esso, tuttavia, si caratterizza per la presenza di un modulo intermedio, preposto all’estrazione del payload finale.

Esaminando il modulo principale, rileviamo un codice .NET; la funzione principale di tale modulo consiste nell’estrarre e caricare la DLL incorporata.

L'evoluzione del Malware Brasiliano

Flusso di esecuzione Crypto .NET

RAT

Nel tentativo di ridurre le perdite correlate ai cyber-attacchi, le banche hanno implementato l’autenticazione a due fattori, utilizzando, per le transazioni di online banking, un token hardware ed un token SMS, in aggiunta alle soluzioni adottate in precedenza, quali, ad esempio, l’identificazione della macchina. Per risolvere questo “problema”, i cybercriminali hanno creato uno strumento di amministrazione remota (RAT, Remote Administration Tool), appositamente sviluppato per richiedere le informazioni occorrenti per processare le transazioni di Internet banking.

image005

Flusso di esecuzione del RAT

Il browser watcher monitorerà il browser dell’utente, e verificherà l’eventuale accesso ad una qualsiasi delle banche target; se questo avviene, esso decomprimerà ed eseguirà il Client RAT, notificando poi al C&C la nuova infezione realizzata. Il Client RAT si connetterà al server, per avvertire il cyber criminale che una nuova vittima sta accedendo al sistema di Internet banking. È quindi possibile compiere l’attacco in tempo reale. Quando l’utente ha già effettuato il login, l’aggressore è in grado di vedere lo schermo dell’utente, bloccare lo stesso e controllare l’esecuzione, così come chiedere informazioni specifiche che lo aiuteranno a realizzare il furto dell’account.

Ransomware

I cybercriminali brasiliani non operano esclusivamente con il malware bancario; essi realizzano anche altri tipi di attacco informatico, in cui si ricorre all’utilizzo di temibili ransomware. Alcuni anni fa, ad esempio, è stato da noi individuato TorLocker; tale software nocivo contiene, all’interno del proprio codice, particolari dettagli che sembrano rivelare come lo sviluppatore del ransomware sia, a tutti gli effetti, brasiliano.

Alcuni mesi fa, inoltre, abbiamo rilevato un ulteriore programma ransomware, basato sul codice sorgente di Hidden Tear, appositamente modificato per prendere di mira gli utenti brasiliani; ricordiamo, a tal proposito, come il programma iniziale fosse invece destinato agli utenti di lingua inglese e giapponese.

I motivi dell’evoluzione

Abbiamo prove sufficienti riguardo al fatto che i criminali informatici brasiliani stiano collaborando con cybergang insediate nell’Europa Orientale, coinvolte nell’utilizzo dei famigerati ZeuS e SpyEye, così come di ulteriori malware creati in tale specifica area geografica. Si tratta di una collaborazione che va ad interessare direttamente la qualità ed il livello di pericolosità del malware locale brasiliano, visto che gli autori di quest’ultimo stanno continuamente aggiungendo nuove tecniche nocive alle proprie creazioni, e sembrano trarre concretamente ispirazione proprio dal copiare alcune delle caratteristiche e delle funzionalità di cui è provvisto il malware proveniente dall’Europa Orientale. I cybercriminali brasiliani stanno non solo sviluppando la qualità del codice nocivo da essi realizzato, ma stanno ugualmente facendo uso di infrastrutture riconducibili alla criminalità informatica di origine straniera.

Il primo segnale di questa singolare ‘partnership’ è stato da noi osservato nello sviluppo del malware che ricorre all’utilizzo di script PAC dannosi. Tale tecnica è stata ampiamente sfruttata dal malware brasiliano a partire dal 2011, ed è stata in seguito adottata dal Trojan bancario russo denominato Capper. La cooperazione è poi continuata nel momento in cui i criminali brasiliani hanno iniziato ad avvalersi dell’infrastruttura dei Trojan banker sviluppati nell’Europa dell’Est; il malware classificato come Trojan-Downloader.Win32.Crishi è stato il primo a far uso di domini DGA collocati presso hosting di tipo “bullet proof” situati sul territorio dell’Ucraina. Anche il noto malware Boleto è ricorso all’utilizzo massiccio di domini fast flux, con il preciso intento di evitare lo smantellamento dei cosiddetti C2 (centri di comando e controllo); nello specifico, tale circostanza è stata da noi rilevata riguardo ai domini “bagaça” (bagasse in portoghese), registrati attraverso servizi anonimi, i quali ospitavano crimeware e componenti nocivi correlati a Boleto, decidendo indirizzi IP diversi ad ogni richiesta effettuata.

malware_evo_it_4

I domini “bagaça”: fast flux e bullet proof targati Europa dell’Est

Un altro evidente segno della suddetta cooperazione è rappresentato dalla costante presenza di cybercriminali brasiliani sui forum underground russi o dell’Europa Orientale. Non è affatto insolito trovare, all’interno dei forum underground russi, criminali informatici brasiliani in cerca di sample di software nocivo, oppure intenti all’acquisto di nuovo crimeware e malware destinato ai bancomat e ai PoS; altre volte, poi, gli stessi negoziano od offrono i propri servizi. Il risultato di questa intensa collaborazione è ben evidenziato dallo sviluppo di nuove tecniche dannose adottate nell’ambito del malware brasiliano.

malware_evo_it_5

Il cybercriminale brasiliano autore di TorLocker alle prese con acquisti su un forum underground russo

Gli elementi qui sopra menzionati dimostrano chiaramente come i cybercriminali brasiliani stiano adottando nuove tecniche, evidente risultato della collaborazione intrapresa con le loro controparti europee. Riteniamo, da parte nostra, che questa sia soltanto la punta dell’iceberg; questo genere di scambi, in effetti, tende ad aumentare nel corso degli anni, visto che la cybercriminalità brasiliana sviluppa e ricerca costantemente nuovi metodi per attaccare sia gli utenti corporate che quelli privati.

Conclusioni

In Brasile, nel corso di questi ultimi anni, il panorama del cybercrimine è drasticamente cambiato; siamo in effetti passati dall’utilizzo di semplici keylogger, creati attraverso codice sorgente pubblicamente accessibile, all’impiego di strumenti di amministrazione remota fatti su misura, in grado di eseguire un attacco informatico completo facendo uso del computer della vittima.

Il malware che, non appena eseguito, era solito far visualizzare all’utente una schermata di phishing, è adesso del tutto reattivo, e attende pazientemente una sessione valida per poter iniziare il proprio lavoro.

Questo significa, semplicemente, che i criminali informatici insediati in Brasile stanno investendo molto più tempo e molto più denaro per sviluppare i loro codici dannosi; essi migliorano costantemente le tecniche di anti-debugging, per far sì che il malware possa rimanere in esecuzione, non rilevato, molto più a lungo.

Come sappiamo, tali malintenzionati sono in contatto con cybercriminali dell’Europa Orientale, soprattutto russi, con i quali vengono scambiati informazioni, codici sorgente di programmi malware e servizi di vario genere, in seguito utilizzati nell’ambito degli attacchi sferrati in territorio brasiliano. Possiamo di fatto osservare come molti degli attacchi informatici realizzati in Brasile siano stati inizialmente visti sulla scena del malware russo; a loro volta, determinate tecniche dannose sviluppate dai malfattori brasiliani sono state successivamente impiegate nel corso di attacchi sferrati dai cybercriminali russi.

Sulla base di tutto ciò, è lecito attendersi la comparsa di malware brasiliano caratterizzato da tecniche di offuscamento del codice ulteriormente perfezionate, astuti trucchi e sotterfugi anti-debug, complessi algoritmi di crittografia e comunicazioni C&C condotte in maniera più sicura; tutti questi elementi, con ogni probabilità, renderanno il nostro lavoro molto più difficile e complicato di adesso.

Post correlati

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *