Utenti Home       Utenti Aziendali       Chi Siamo       Contratto EULA.

Dettaglio news

Nuova campagna di email di spam diffonde 3 malware: un miner, uno spammer e il ransowmare GandCrab.
- VENERDÌ 25 GENNAIO 2019


Abbiamo analizzato recentemente una campagna di spam piuttosto ampia che diffonde malware tramite allegati email in formato archivio .ZIP.  L'archivio nasconde un JavaScript che distribuisce ben tre malware collegati tra loro: il ransomware GandCrab, un miner per Monero e uno Spammer. Questo pacchetto di malware tra loro collegati non è affatto una novità, anzi è ormai assolutamente comune che un ransomware venga collegato ad altri malware, sopratutto miner per vari tipi di criptovaluta, infostealer o spyware e spammer: un attacco così congeniato infatti può massimizzare il profitto dei cyber attaccanti. Nel caso la vittima decidesse di non pagare il riscatto, l'attaccante può comunque usare il miner o lo spammer, dato che, in definitiva, l'obiettivo dell'hacker sarà prendere il controllo del sistema e ottenere un guadagno ricattando la vittima o sfruttando il suo dispositivo.


La mail di spam è la fonte di infezione di questa campagna: ovviamente oggetto e corpo email sono pensati per ingannare il destinatario e convincerlo ad aprire sia l'email che l'allegato in essa contenuto. Solitamente, come oggetto email di questa campagna, troviamo: “Greeting Card”, “My letter just for you”,” Always thinking about you”,” This is my love letter to you”,” Just for you!”,” Wrote my thoughts down about you”,” I love you”,” Felt in love with you!” ecc...

Il Javascript è altamente offuscato e codificato in base64. Usa bitsadmin.exe e PowerShell.exe per scaricare i payload da un dominio sotto controllo degli attaccanti. Sotto il Javascript deoffuscato. 


Il primo payload scaricato altro non è che un downloader, che crea immediatamente una copia di se stesso, si termina e quindi si esegue di nuovo da una nuova location. Quest file scarica i tre componenti: il Mail Spammer, il miner di Monero, il ransomware GandCrab. Sotto l'albero dei processi eseguiti nell'arco di questa infezione. 


Lo Spammer
Il primo malware è un "email spammer" il cui compito è quello di inviare email a differenti indirizzi email. Scarica e invia il JavaScript (il vettore iniziale) come allegato e lo invia. Esegue anche attacchi di brute-force a dizionario sugli indirizzi email che sono già contenuti in un file binario: è dotato anche di una lista di diversi tipi di corpo email, che gli sono necessari per creare l'email stessa, e di una lunga serie di username. Il binario tenta di connettersi a hxxp://icanhazip.com: questo non è un sito dannoso o compromesso, si limita a fornire in risposta all'attaccante l'IP pubblico della vittima.  Lo Spammer modifica anche le voci di registro, ottenendo la persistenza con “HKCU\Software\Microsoft\Windows\CurrentVersion\Run”. 

La lista degli ID email, lo Spammer la ottiene dal proprio server di C&C e la usa allo scopo di inviare molteplici email che diffondendo l'allegato dannoso contenente il Javascript sopra descritto. Attualmente la lista conta oltre 20000 email ID. Ad ogni nuova esecuzione, la lista viene estesa. Sotto la lista degli indirizzi email


Il Miner di Monero
Il secondo payload è il noto miner per Monero XMRig: usa l'algoritmo Cryptonight per il mining di Monero. Quando il miner viene eseguito, crea una cartella con attributi nascosti ed esegue una copia di se stesso, quindi scarica sul pc un file di configurazione in formato. JSON, già criptato in base64. Scarica inoltre un file VBS che avvia la ricerca, su un server compromesso, di nuove varianti. Questo script viene poi eliminato dopo l'esecuzione. Nell'immagine sotto i file scaricati sulla macchina infetta.


Decriptando il file di configurazione, abbiamo notato che questo miner esegue anche una ricerca dei processi attivi sulla macchina collegati a soluzione antivirus, ma qui il codice presenta una falla: anche se il miner rintraccia un processo Antivirus non esegue alcuna operazione particolare: la scansione continua in cerca del processo successivo. Sotto alcuni dei processi AV in verifica. 
Il processo del miner non esegue alcuna attività dannosa collegata all'attività dei miner: si limita a iniettare il proprio codice in wupp.exe (per i SO a 32-bit) o in notepad.exe ( per i SO a 64-bit) e saranno questi a svolgere le attività di mining usando il file di configurazione. Sotto l'iniezione del codice in wupp.exe. 


C'è un altro loop in questo miner, che esegue e verifica costantemente se taskmgr.exe sia in esecuzione o meno. Se lo trova, lo termina nel processo wupp.exe/notepad.exe. Se il processo del Task Manager viene arrestato, il miner inietta di nuovo il proprio codice e avvia il mining. L'immagine sotto mostra come il miner si nasconde dal task manager. 


Il ransomware GandCrab
Il terzo e ultimo payload che viene scaricato sul sistema contiene il ransomware GandCrab. Dopo l'esecuzione, il malware verifica le impostazioni della tastiera (nel dettaglio se sia impostata sulla lingua russa) usando RegKey: se trova tali impostazioni il processo viene terminato.  Viene verificata anche la presenza o meno di una soluzione antivirus in esecuzione. 

Ecco la nota di riscatto: in questo caso la versione di GandCrab che viene diffusa è la 5.0.4


L'individuazione da parte di Quick Heal.
Quick Heal individua con successo questo tipo di campagne a più livelli di individuazione. 


Leggi tutte le news     |     Leggi tutti gli update
Ultime news

VENERDÌ 29 NOVEMBRE 2019
Attenzione! Il lucchetto verde e l'HTTPS non sono più sufficienti per indicare un sito web sicuro
Negli ultimi tempi i Quick Heal Security Labs hanno registrato un sorprendete aumento degli attacchi di phishing: sono attacchi nei quali gli ignari utenti vengono attira...

leggi tutte le news

Premi e Certificazioni

La qualità dei prodotti Quick Heal vanta innumerevoli premi e certificazioni a testimonianza della sempre crescente importanza del marchi a livello mondiale nel settore Antivirus e sicurezza informatica

Continua a leggere »

Chi siamo
Panoramica
La nostra storia
Premi & Certificazioni
Scheda riepilogativa
Clienti
Dicono di noi
Trova un rivenditore
Manuali e schede tecniche
Chiedi aiuto
Contatti
Update
Rivenditori
Diventa rivenditore
Strumenti di supporto
Link rapidi
Rinnova ora
File di installazione
Supporto
Contratto EULA.
Download Upgrade

S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482

© 2019 nwk - Privacy Policy - Cookie Policy - Login