Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Un'analisi approfondita di AZORult, il malware che ruba tutte le informazioni sul pc delle vittime
- MERCOLEDÌ 17 OTTOBRE 2018


Se l'attenzione del cyberspazio è concentrata principalmente su Ransomware e Cryptominer, ci sono altri agenti di rischio che si stanno affermando silenziosamente. Durante l'attività quotidiana di ricerca delle minacce, i Quick Heal Security Labs hanno trovato un URL bloccato dalla funzione in cloud di categorizzazione degli URL di Quick Heal. Ulteriori analisi dell'URL ci hanno portati a individuare una nuova variante del malware AZORult: stiamo parlando di un malware che raccoglie e filtra i dati della macchina bersaglio e li invia verso un server C&C. In questo post analizziamo il malware, tratteggiandone le caratteristiche principali. 

Sotto è illustrata la catena di attacco ed esecuzione osservata per questo malware. 


Al momento dell'analisi, il vettore iniziale di attacco resta sconosciuto, ma la catena di attacco è stata tracciata dall'URL dannoso. Sospettiamo che il vettore iniziale di attacco sia una email di Phishing. 

URL:  cw57146.tmweb.ru/upload/neut[.]exe

Durante l'analisi statica, abbiamo notato che il file "neut.exe" è un eseguibile PE32 per Microsoft Windows, compilato come file P-code per Microsoft Visual Basic. Ha svariate stringhe criptate e contiene grandi risorse di dati ad alta entropia. 


La foto sopra mostra la quantità enorme di dati in  CFF explorer

Il file decompilato ha una funzione per disabilitare DEP per il processo in corso. Tenta di modificare le impostazioni di Explorer per impedire che alcuni file nascosti vengano visualizzati, ma anche per caricare una grandissima quantità di risorse in memoria. 

Mentre studiavamo altre funzioni nel file decompilato, abbiamo trovato del codice offuscato, che viene passato ad una funzione che rimette in chiaro i dati offuscati e forma una stringa valida. 


Convertiti questi valori hex in ASCII, il codice appare essere codificato in base64. Così, una volta usato l'algoritmo base64, abbiamo rinvenuto le seguenti stringhe:

C:\ProgramData\worm.exe
Hxxp://cw57146.tmweb.ru/upload/neut[.]exe

La funzione successiva ha un algoritmo XOR, assieme ad un'altra operazione che viene applicata a tutti i dati delle risorse. La routine di decriptazione viene mostrata nel frammento di seguito


Dopo aver implementato la funzione nel codice, viene trovato un file PD. Il file PE decriptato è un file Delphi per Windows: abbiamo proceduto ad analisi anche di questo ulteriori file. 


Le stringhe codificate in base64

Decodificato anche questo con algoritmo base64, abbiamo individuato le stringhe:
  • Software\Microsoft\Windows\CurrentVersion\Uninstall
  • DisplayName
  • DisplayVersion
  • HARDWARE\DESCRIPTION\System\CentralProcessor\0
  • CreateToolhelp32Snapshot
usate per raccogliere informazioni di sistema come "DisplaName" nella chiave di registro "Unistall" che viene usata  per identificare tutti i software installati nel sistema.“CreateToolhelp32Snapshot” viene invece usato per l'elencazione di tutti i processi in esecuzione. 

Il malware raccoglie anche altri dati come "MachineGuid", "ProductName", "UserName", "ComputerName" ecc... Il malware tenta quindi di inviare questi dati al proprio server C&C usando richieste POST.  Sotto mostriamo come viene costruita questa richiesta:


Il Server C&C ha risposto con una grandissima quantità di dati apparentemente criptati. Ulteriore debugging del file hanno portato a scoprire che il malware legge questi dati usando l'api "InternetReadFile, quindi li decripta usando l'algoritmo XOR con chiave di 3byte. Sappiamo che alcuni dei dati inviati sono stringhe base64 encoded. Queste strigne descrivono ulteriori informazioni che il malware tenta di rubare dalla macchina della vittima, come il nome utente, le password, i software installati, le informazioni sul browser ecc...


Dopo aver decriptato l'altro buffer criptato con XOR, abbiamo scoperto che questo porta con sé tantissime DLL (oltre 48), che vengono scaricate nella cartella :% Temp% \ 2fda. Alcune di queste DLL sono correlate ai plugin del browser. Il malware carica queste DLL in memoria e estrae le informazioni dal browser, i cookie e altri dettagli e recupera perfino l'indirizzo IP pubblico della macchina infetta richiamando “hxxp://ip-api.com/json”.

Tra le altre informazioni raccolte troviamo:
  • l'elenco di tutti i software installati nel sistema;
  • tutti i processi in esecuzione;
  • eventuali informazioni riguardanti molti wallet di criptovaluta (Monero, Electrum, MultiBit ecc...);
  • il nome della macchina;
  • le dimensioni della RAM ecc...
Tutte informazioni che vengono inviate criptate con XOR al server C&C. Il server risponde un semplice "OK" dopo aver ricevuto tutti i dati.  Questi dati sono molto utili: possono essere usati per ottenere accessi non autorizzati sugli account email, bancari e altri servizi. 

Quick Heal individua AZORult come “Trojan.IGENERIC”.

Conclusioni
In mezzo a ransomware e cryptominer, questi malware infostealer sono sul podio dei vettori di attacco preferiti dai cyber criminali. Consigliamo ai nostri utenti di evitare l'accesso a siti web/email sospette e di tenere sempre aggiornato l'antivirus, per impedire che tali malware possano infettare il sistema. Quick Heal è dotato di un'avanzata tecnologia di rilevamento, monitora e blocca costantemente siti dannosi e malware complessi. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

LUNEDÌ 9 DICEMBRE 2019
Instagram cambia: le nuove policy aumentano le tutele per i minori e la privacy
Ci sono diverse novità che riguardano il popolarissimo social Instagram: la prima e sicuramente più "impattante" è che ora, per iscriversi, occorrerà dichiarare l'età e l...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login