Articoli di approfondimento sulla diffusione di Malware principalmente legati al nostro territorio Italiano ma non solo.

2016.09.06_Screenshot_1515150

Negli ultimi giorni sono state inviate diverse eMail che avvisano l’utente nella presenza di una attività sospetta sul proprio account Microsoft, precisando che è stato eseguito un accesso il giorno 4 Settembre alle ore 12:37 GMT dalla Francia e da un utente avente l’indirizzo IP 6.2.794.8. Infine l’utente viene avvisato di controllare i propri ultimi accessi e se non riconosce l’accesso dalla Francia di aprire il documento allegato per ottenere informazioni in merito.

Il file allegato in formato ZIP viene generato con un nome casuale, ma al suo interno contiene un altro ZIP denominato 28781.zip che a sua volta contiene il file JavaScript 28781.jse. Quest’ultimo file ha il compito di effettuare il download del malware ed eseguirlo.

Analisi eMail

A prima vista è possibile determinare due errori nella stesura della eMail che chiaramente confermano la finta comunicazione. Innanzitutto il giorno 4 Settembre 2016 non era un Sabato come riportato nell’abbreviazione Inglese ma una domenica e quindi la corretta dicitura doveva essere “Sun, 04 Sep 2016…” inoltre l’indirizzo IP riportato non corrisponde allo standard per il protocollo IPv4. Un indirizzo IPv4 è composto da 4 numeri, ciascuno tra 0 e 255 mentre nella eMail è indicato il numero 794.

Infine la comunicazione arriva da un account Gmail (Google) che non ha certamente niente a che vedere con Microsoft, essendo due aziende concorrenti.

Analisi Malware

Il file JavaScript allegato avviandolo esegue il download del virus attraverso il dominio zapodewac.top tale sito è stato registrato in data 31 Agosto 2016 da Dudenkov Denis residente nella città russa Vladivostok. Un estratto del whois:

Domain Name: zapodewac.top
Domain ID: D20160831G10001G_78656334-TOP
WHOIS Server: www.eranet.com
Referral URL: http://www.eranet.com
Updated Date: 2016-08-31T15:41:49Z
Creation Date: 2016-08-31T15:30:05Z
Registry Expiry Date: 2017-08-31T15:30:05Z
Sponsoring Registrar: Eranet International Limited
Sponsoring Registrar IANA ID: 1868
Domain Status: clientTransferProhibited https://www.icann.org/epp#clientTransferProhibited
Registrant ID: tod-706245
Registrant Name: Dudenkov Denis
Registrant Organization: Denis Dudenkov
Registrant Street: Lenina 18
Registrant City: Vladivostok
Registrant State/Province: RU
Registrant Postal Code: 690109
Registrant Country: RU
Registrant Phone: +86.79242368995
Registrant Phone Ext:
Registrant Fax: +86.79242368995
Registrant Fax Ext:
Registrant Email: [email protected]

Continuando l’analisi del dominio rileviamo la presenza di diversi file che riconducono la presenza di un possibile pannello di controllo:

  • admin.php
  • allert.php
  • log.php
  • report.php
  • support.php
  • phpmyadmin/

Accedendo ai cinque diversi file PHP non si ottiene alcuna risposta, probabilmente per attivare le pagine bisogna passarli tramite chiamata GET o POST una password. È un metodo comunemente sfruttato per “nascondere” le web-shell o i mailer per inviare Phishing.

È probabile che il file admin.php permetta al criminale di accedere ad un proprio pannello di amministrazione, il file allert.php come spesso vediamo nel mondo del Phishing di avvisare l’attaccante della presenza di una nuova vittima, il file log.php di memorizzare i log di accesso, il report.php di generare report sugli accessi e relative informazioni sugli utenti e infine il file support.php che probabilmente permette di personalizzare la procedura di decifrazione per l’utente. Infine la presenza di PHPMyAdmin fa pensare che viene usato un database SQL per memorizzare i dati raccolti.

Effettuato il download del file eseguibile lo script JavaScript procede ad eseguirlo, esecuzione che cifrerà tutti i file presenti sulla Home Directory dell’utente impedendogli l’accesso salvo il pagamento di un riscatto pari a 1Bitcoin se l’acquisto viene fatto entro 5 giorni alternativamente il prezzo salirà a 2 Bitcoin. Al cambio odierno 1 Bitcoin corrisponde a quasi 550euro.

Il Ransomware a conferma che la decifrazione dei dati sia possibile permette di decifrare gratuitamente un file a propria scelta, della dimensione massima di 3Mb. Eseguendo tale procedura l’utente sceglierà il file da caricare e il sistema restituirà un archivio zippato contenente il file decifrato.

Al momento della stesura dell’articolo, ovvero dopo 3 giorni dalla diffusione del malware, solo il 30% degli antivirus commerciali riconoscono la minaccia secondo il report di VirusTotal.

 

VirusTotal_Zapodewac

Concludiamo con una galleria di screenshot del Malware in esecuzione su una nostra macchina di laboratorio.

Questo slideshow richiede JavaScript.

 

Invitiamo gli utenti alla massima attenzione prima di aprire ogni allegato presente in una eMail.

Un costante monitoraggio della rete da parte di D3lab rileva come giornalmente vengano creati nuovi nomi di dominio spesso ingannevoli e che fanno riferimento a noti servizi internet quali ad esempio, PayPal
1

ma anche alla nota applicazione di messaggistica istantanea multipiattaforma per smartphone, Whatsapp
2In dettaglio ecco un novo dominio, dal nome ingannevole, che appare registrato da poche ore,

4

e che mostra l’attuale hosting su IP USA

3La pagina di download della fake applicazione Whatsapp presenta un layout ottimizzato  per dispositivi mobili

5
Una volta cliccato sul pulsante download, viene scaricato un file apk che una analisi Virus Total mostra avere contenuti malware

7
Sempre sul medesimo sito e’ possibile trovare pagine di download di altre note applicazioni Android, in realtà falsi apk dai contenuti maevoli.

6
Il consiglio rimane quindi sempre  quello di evitare di scaricare applicazioni da siti poco conosciuti e di dubbia affidabilità, provvedendo inoltre, prima di installare il software, ad una scansione con servizi Internet di verifica dei contenuti, come ad esempio Virus Total, ricordando comunque che nel caso di nuovo malware o varianti di codici noti, anche la scansione online, potrebbe, specialmente nelle prime ore di distribuzione del codice malevolo, far apparire il file come  legittimo e senza problemi.

whois query

In seguito all’attacco rilevato nei giorni scorsi a danno di Cassa di Risparmio di Cesena, D3Lab ha eseguito un’analisi approfondita riguardante il dominio coinvolto.

Analizzando l’host si rileva che è stato creato in data 30-07-2015 come evidenziato nello screenshot sottostante e che risulta essere posizionato su un server ecuadoregno. Continua a leggere

GLS_Finta_Comunicazione

Una nuova andata di ransomware giunge agli utenti attraverso eMail solo apparentemente inviate dal vettore nazionale GLS. Il messaggio di posta con oggetto “GLS Italy – Notifica spedizione E4 369026685” informa l’utente che l’azienda “CASTELLARI SRL” ha inviato un collo al destinatario “CLIENTE SRL” e che è possibile seguire lo stato d’avanzamento della spedizione direttamente sul sito di GLS all’indirizzo riportato.

Selezionando l’indirizzo “http://www.gls-italy.com/track_trace_user.asp?locpartenza=E4&numsped=369026685” avviene il download di un file compresso in formato ZIP denominato “informazionispedizione.zip” contenente un JavaScript che ha l’onere di scaricare ed eseguire il malware. Il file JavaScript confonde l’utente sfruttando la doppia estensione .PDF.JS ed è stato offuscato per impedire un immediata analisi.

Analizzando l’Header dell’eMail rileviamo lo sfruttamento di una casella eMail del Gruppo Buffetti per l’invio massivo del Phishing, è probabile che ignari utenti siano entrati in possesso delle credenziali della casella di posta e l’abbiano sfruttata per inviare le comunicazioni fraudolente.

GLS_Header_eMail

La scansione su VirusTotal, dopo pochi minuti dalla ricezione dell’eMail, del file .cab scaricato dal downloader JavaScript riporta il rilevamento della minaccia da parte di soli 3 Antivirus su 53.

GLS_Malware

 

 

eMail Malware Crittografato

Una recente tecnica sfruttata per diffondere ed eseguire malware attraverso un downloader JScript consiste nel crittografare il malware. Il file JScript in allegato all’eMail e compresso in formato .zip come nell’immagine di apertura non ha il solo compito di scaricare ed eseguire il file eseguibile ma avrà l’onore di decodificare quest’ultimo.

Per rendere il download più trasparente agli Antivirus viene sfruttata la crittografia, rendendo di fatto il malware un file innocuo. Il beneficio di questa tecnica è facilmente visualizzabile nella seguente immagine, il portale VirusTotal eseguendo la scansione del malware crittografato sfruttando oltre 50 antivirus NON riesce ad identificare il file come malevolo. Inoltre si previene l’inserimento nelle BlackList o RBL (Realtime Blackhole List) del sito internet in quanto all’apparenza non sta generando traffico malevole.

VirusTotal Malware Crittografato

La tecnica è assolutamente efficace per non far determinare all’antivirus che è in corso il download di un file malevolo che una volta decrittografato viene correttamente rilevato quale malware da quasi il 40% di Antivirus disponibili su VirusTotal.

VirusTotal Malware CrittografatoProcedendo ad una decodifica del file JScript possiamo analizzare più dettagliatamente il funzionamento di questa tecnica.

JScript deoffuscatato

Come possiamo visualizzare dall’immagine precedente, il file JScript che si presenta codificato esegue inizialmente la creazione di un Array contenente 3 URL dal quale può scaricare il malware crittografato. Vengono indicati tre differenti url poiché se il primo url non è più disponibile si procederà ad eseguire il download dal secondo sito e così via. Tutti siti internet che risultano essere compromessi.

Successivamente viene inizializzata una variabile contenete la path della directory Temporanea dell’utente, tale variabile viene sfruttata per salvare il file scaricato dagli url precedenti che verrà salvato con il nome i8aBHu1RbJvtm. Una volta scaricato e salvato il malware crittografato viene rinominato aggiungendo l’estensione .exe (i8aBHu1RbJvtm.exe). Successivamente verrà richiamata la funzione KFEy3 che ha l’onere di eseguire la de-crittografia del malware.

Il file scaricato e crittografato viene de-crittografato attraverso una sostituzione monoalfabetica, ovvero la sostituzione di un testo cifrato con un testo in chiaro in base a regole precedentemente stabilite. Durante la de-cifratura, ad ogni porzione del codice cifrato viene associata la corrispondente porzione del codice in chiaro.

Una volta de-crittografato viene avviato e nell’immagine seguente vediamo le conseguenze dell’avvio.

2016.05.27_Screenshot_1007220

Si tratta di un ransomware!

Malware Querela eMail

In data odierna abbiamo rilevato una nuova importante campagna di diffusione Malware a mezzo eMail: per adescare l’utente nella trappola viene sfruttata una finta comunicazione di Querela per Diffamazione Aggravata. Continua a leggere

email_disoccupazione

Nella giornata odierna ci è pervenuta la segnalazione di una nuova campagna di diffusione di Malware a mezzo eMail, come potete vedere dallo screenshot in apertura la comunicazione attrae particolarmente l’attenzione del destinatario perché tratta di argomenti molto sensibili ad un dipendente. Il licenziamento e la disoccupazione sono ad oggi due argomenti di forte interesse e preoccupazione pertanto un utente sbadato con il patema di ricevere la notifica di disoccupazione può cadere nel tranello ed aprire l’allegato denominato documenti n.1,2,3_doc.zip tale allegato contiene l’eseguibile documenti n.1,2,3_doc.DOCX.exe in grado di scaricare ed eseguire un malware.

La seguente breve analisi vuole riportare alcuni dettagli tecnici rilevati nell’analisi condotta nei nostri laboratori, per rendere noto il lavoro meticoloso svolto per diffondere virus a partire da una eMail scritta correttamente nel lessico e nei contenuti e anche una importante precisione tecnica per infettare il computer.

Il file allegato, come anticipato, eseguirà il download del malware via web eseguendo la seguente chiamata GET:

GET /gate.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: it
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: fridazai.xyz

Il dominio fridazai.xyz che subito colpisce l’occhio non si tratta di un sito internet compromesso, come recentemente accade per la diffusione di Cryptoware, ma è stato registrato ad-hoc il 25 Aprile 2016 sfruttando il WhoisGuard Protected per anonimizzare l’intestazione.

Domain Name: FRIDAZAI.XYZ
Domain ID: D19967705-CNIC
WHOIS Server: whois.namecheap.com
Updated Date: 2016-04-25T16:28:06.0Z
Creation Date: 2016-04-25T16:28:03.0Z
Registry Expiry Date: 2017-04-25T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: C47900863-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
>>> Last update of WHOIS database: 2016-05-12T12:01:37.0Z <<<

Fridazai è l’anello chiave di questa analisi essendo un server C&C (Command and Control) gestito dal Bootmaster, il panello di accesso riporta il nome Godzilla e indubbiamente guardando il logo il riferimento al film è decisamente lampante.

 

c&c_godzilla

 

Una volta avviato il malware eseguirà il download attraverso la chiamate GET precedentemente riportata e andrà a replicarsi all’interno della directory Programmi del proprio computer.

 

vlcsnap-2016-05-12-14h12m26s568

 

Successivamente, non avviandosi nell’immediatezza, andrà a memorizzare una nuova chiave nel registro di Windows per avviarsi al successivo avvio.

 

vlcsnap-2016-05-12-14h16m43s063

 

Il nome dell’eseguibile corrisponderà all’id sfruttato nel C&C per rappresentare i computer infetti e salvato anche in un dedicato file .ini

 

vlcsnap-2016-05-12-14h21m48s272

 

Allo stato attuale l’analisi sembrerebbe indicare che il malware riesca a riconoscere di essere in esecuzione su una sand box e adotta comportamenti atti ad evitare la completa analisi. Nell’attesa di ulteriori accertamenti vogliamo mostrarvi alcune schermate del C&C Godlizza Loader rilevate in un forum tematico, i cui particolari lascerebbero ipotizzare che la paternità di questa struttura C&C vada ricercata in Russia.

Questo slideshow richiede JavaScript.

mail con malware

Nella giornata odierna sono stati individuati due diversi messaggi di posta elettronica contenenti malware in allegato.

Caso 1:

il messaggio di posta attraverso cui il malware è veicolato fa riferimento all’acquisto di prodotti hardware e software. In allegato è presente il file zip sottomissione983958F.zip contenente un secondo archivio zip avente il medesimo nome, al cui interno è presente il file eseguibile sottomissione983958F.exe

mail con malware

Si rappresenta come nel mese di febbraio una mail con contenuti similari sia stata usata per veicolare l’infezione da malware della tipologia cryptolocker che ha avuto vasta diffusione colpendo moltissimi sistemi aziendali. Il file eseguibile viene riconosciuto quale malware da 18/57 anti-virus engine del servizio VirusTotal (report)

 

Caratteristiche della mail:


 

Caso 2:

Il secondo caso risulta particolarmente insidioso in quanto fa uso di posta certificata attraverso cui veicolare l’infezione, facendo semplicemente riferimento all’invio di documenti richiesti e presenti in allegato. Il messaggio sembrerebbe essere stato inviato facendo uso dei servizi pec di actalis.it.

Allegati al messaggio involucro si trovano il file:

  • daticert.xml;
  • postacert.eml, il messaggio vero e proprio;
  • “scan 2930003 del 09 04 2015.zip”, il malware

 

L’allegato “scan 2930003 del 09 04 2015.zip” contiene il file “scan 2930003 del 09 04 2015.scr” riconosciuto quale malware da 28/56 anti-virus engine del servizio VirusTotal (report)

mail certificata con virus

 

Caratteristiche della mail:

E’ interessante notare che i destinatari della mail sono indirizzi mail non facenti parti dei servizi di posta gratuiti, ma collegati a domini privati/aziendali, evidenziando l’interesse di colpire un target specifico .

analisi di VirusTotal

Proseguono senza sosta i tentativi di portare gli utenti del web a compromettere i propri sistemi attraverso l’invio di mail con collegamenti a malware o con eseguibili in allegato.

Il tentativo odierno è veicolato attraverso una mail apparentemente inviata dall’INPS, per il preavviso di accertamento relativo ai contributi, avente le seguenti caratteristiche:

Subject: INPS: Preavviso di accertamento per la pratica 33905717

From: “Shafira Chaney” <[email protected]>

testo:

Si trasmette in allegato il preavviso di accertamento negativo relativo ai Durc attualmente in istruttoria presso la sede di CATANZARO.

 

Questo e’ un messaggio di posta elettronica generato automaticamente dal sistema. La preghiamo di non rispondere/inviare email all’indirizzo mittente, perche’ e’ una casella applicativa, pertanto qualsiasi messaggio non  sara’ letto. Per individuare le modalita di contatto dell’INPS, si prega di visitare il portale dell’INPS (www.inps.it).

Clausola di riservatezza

Le informazioni contenute in questo messaggio di posta elettronica sono riservate e confidenziali e ne e vietata la diffusione In qualunque modo e seguita. Qualora Lei non fosse la persona a cui il presente messaggio e destinato, La invitiamo gentilmente ad eliminarlo dopo averne dato tempestiva comunicazione al mittente e a non utilizzare in alcun caso il suo con tenuto. Qualsiasi utilizzo non autorizzato di questo messaggio e dei suoi eventuali allegati espone il responsabile alle relative conseguenze civili e penali.

Notice to recipient

This e-mail is strictly confidential And meant For only the intended recipient of the transmission. If you received this e-mail by mistake, Any review, Use, dissemination, distribution, Or copying of this e-mail Is strictly prohibited. Please notify us immediately of the Error by Return e-mail And please Delete this message From your system. Thank you In advance For your cooperation.

—————————————

Il file allegato Preavviso___Accertamento___RNRRRT82P17C352E.zip contiene un eseguibile con estensione .PIF a cui Virustotal da un rating di 8 su 57 !!

 

analisi di VirusTotal

 

Sebbene il sorgente della mail mostri un invio da client di posta Microsoft

X-Mailer: Microsoft Windows Live Mail 16.4.3528.331
X-MimeOLE: Produced By Microsoft MimeOLE V16.4.3528.331

si ha in realtà evidenza dell’utilizzo di uno script php quale mailer

X-PHP-Originating-Script: 48:mailout.php

apparentemente inoculato in un sito statunitense basato su WordPress.

falsa mail

Prosegue il tentativo di infezione rilevato nei giorni scorsi con l’invio di false mail apparentemente provenienti da servizi di corrieri.

I veicoli di infezione impiegati oggi dei criminali sono due differenti mail apparentemente inviate da TNT e da Corriere Bartolini.

falsa mail

 

 

Subject: NUMERO TRACKING N* 7277 – 4132 – 1994 – 1678

From: “Servizi TNT” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

Link: hXXp://bagmar[DOT]com/order/fattura1.pif?[email protected]

 

falsa mail

 

Subject: NUMERO TRACKING N* 5790 – 3514 – 4884 – 2180

From: “BARTOLINI” <[email protected]>

testo (html):

Buongiorno,

Il tuo pagamento a avuto esito positivio , i detagli relativi dell pagamento e il numero di tracking so sull link sotto.

link: hXXp://bagmar[DOT]com/order/[email protected]

Sulle  mail box di Libero e Virgilio i messaggi vengono inseriti nella directory SPAM.

Al momento sembrerebbe che qualcosa non sia andato nel verso giusto per i criminali: le mail inviate poco prima delle ore 09:00 CET richiamano loghi non presenti ed anche i file eseguibili, con estensione PIF, non sono più presenti.

L’assenza di tali file è presumibilmente da  imputarsi alle richieste di  bonificato e messo in sicurezza del sito web, inoltrate da D3Lab nei giorni scorsi, a causa dell’utilizzo del sito in numerosi casi di phishing.

altri attacchi di phishing facenti uso del medesimo sito compromesso

 

Il ripetersi del tentativo di infezione, ad opera dei medesimi autori, già distintisi per una vivace attività nell’ambito del phishing tradizionale, lascerebbe tuttavia supporre che gli stessi abbiano avuto un positivo riscontro dalla precedente azione, nonostante la presenza di numero errori grammaticali nel testo del messaggio.