Tag Archivio per: gootkit

Nel corso delle attività di contrasto e monitoraggio del phishing, D3Lab ha avuto modo di individuare ed analizzare i rilevi emersi da campagne malspam in circolazione in Italia volte a veicolare malware attraverso l’utilizzo di account email legittimi precedentemente carpiti.

La particolarità della campagna consiste nel controllo preventivo inerente il sistema da compromettere e nelle caratteristiche del file dropper, scaricabile tramite link alla mail, che  una volta scompattato assume dimensioni tali da non consentire la sottomissione del sample sulle sandbox online di malware analysis.

Dettagli tecnici

Le email analizzate fanno riferimento a rapporti commerciali precedentemente intercorsi tra le parti. Nello specifico, l’oggetto viene ripreso da conversazioni già intercorse e presenti nella casella di posta ed il contenuto sembra essere il prosieguo di una discussione già intrattenuta tra le parti come una risposta ad una conversazione precedente.

Nel corpo della mail, utilizzando un italiano non del tutto corretto, si invita la vittima a seguire un link al fine di visionare il documento o la fattura/ricevuta.

La mail si conclude con firma originale in calce e riferimenti reali alla società di appartenenza dell’account mittente. Di seguito uno screenshot esplicativo.

Analisi comportamentale

Seguendo il link indicato nella mail, si viene indirizzati alle seguenti URL:

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881

Le Url indicate effettuano un controllo preventivo lato server in merito al sistema operativo che fa richiesta. Solo nel caso in cui la pagina venga visionata da un browser con User-Agent “Internet Explorer” verrà proposto in download un archivio .ZIP da 536 KB denominato:

  • 2018 DICEMBRE DOCUMENTI.zip

Il file archivio contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati:

  • 04 DICEMBRE 2018.vbs
  • dbpreview.dat

Mentre il file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper e cambia nome di frequente.

Il file VBS una volta estratto dall’archivio aumenta notevolmente la dimensione sino a 451,9 MB. Si presume che tale tecnica sia stata utilizzata al fine di non permettere l’upload del file stesso su nessuna delle piattaforme che effettuano analisi del malware. Il codice reale (offuscato), una volta estratto, è composto da poche righe, come visibile dallo screenshot sottostante:

Al fine di rendere il file di grandi dimensioni sono state inserite all’interno del codice numerose righe vuote che grazie all’algoritmo di compressione non hanno dimensione, ma tornano ad essere “presenti” una volta scompattato dal file ZIP.

 

Il codice decodificato assume la seguente struttura:

 

Leggendo la sintassi del codice si evince chiaramente che il file VBS ha il compito di collegarsi alla url http://pixelors[.]com/ShareImage.php dalla quale effettua il download di un file “opr.exe” salvandolo nella cartella “%TEMP%” di sistema.

Il sample opr.exe risulta essere un campione appartenente la famiglia Gootkit il cui scopo è quello di intercettare il traffico, raccogliere informazioni, soprattutto bancarie, ed infine comunicare sulla porta 443 con il server di C&C che nel caso in oggetto risulta essere “antoniojguerrero[.]com” risolvibile con indirizzo IP 185[.]248[.]160[.]132.

In fase di esecuzione il malware effettua una serie di controlli per sfuggire alle sandbox e agli strumenti di debug. In tal caso termina l’esecuzione senza effettuare alcuna attività.
Di seguito un’immagine dimostrativa che evidenzia la funzione IsDebuggerPresent() invocata 49 volte e utilizzata per rilevare la presenza di debug attivo in fase di esecuzione.

Una volta accertata l’affidabilità dell’ambiente in cui viene eseguito, il malware si esegue in un nuovo thread, a quel punto modifica le policy dal registro di sistema assegnando il valore REG_DWORD 2500 con impostazione 3 in modo da disabilitare la modalità protetta della Internet Zone.

Di seguito le chiavi modificate:

In fine inizia le attività di monitornig e di comunicazione con il C&C.

Indicatori di Compromissione

Di seguito riportiamo gli indicatori di compromissione.

IP:

  • 149.56.5[.]78
  • 185.61.152[.]59
  • 185.248.160[.]132:443

Domini:

  • pixelors[.]com
  • antoniojguerrero[.]com

URL

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881
  • hxxp://pixelors[.]com/ShareImage.php

Allegato ZIP

  • File: 2018 DICEMBRE DOCUMENTI.zip
  • Hash md5: 83932c5046afb5e90a26b030fffe23b2

VBS

  • File: 04 DICEMBRE 2018.vbs
  • Hash md5: 219e8d1cc3750f3fea37f8588e9f14af
  • File: DICEMBRE 02 2018.vbs
  • Hash md5: 609378f6228ca6bd7c908fdfd5a42fa0

DAT

  • File: dbpreview.dat
  • Hash md5: 291579f343a99b8f39b0098ad4c08e49

PE

  • File: opr.exe
  • Hash md5: 176c29ad575d897e1795d58761583890