Asruex Trojan: nuova variante colpisce versioni vulnerabili di MS Office e Adobe

27/08/2019

Asruex malware

Il CERT-PA, durante la sua attività di monitoraggio delle fonti Osint, è venuto a conoscenza che i ricercatori di Trend Micro hanno rilevato una nuova variante del malware Asruex denominata “Virus.Win32.ASRUEX.A.orig“. Per infettare i sistemi il Trojan sfrutta vecchi bug di Microsoft, Adobe Reader e Acrobat 9.x.

Asruex è apparso per la prima volta nel 2015 ed è stato associato al gruppo DarkHotel, noto per aver colpito diverse strutture nel settore alberghiero e dei servizi. La nuova variante rilevata fa uso delle seguenti (vecchie) vulnerabilità:

  • CVE-2012-0158 è una vulnerabilità critica di esecuzione di codice in modalità remota (RCE) che ha interessato Microsoft Office.
  • CVE-2010-2883 relativa ad un difetto di buffer overflow presente su Adobe reader e Acrobat 9.x su Windows e Mac OS X, che consente agli aggressori remoti di eseguire codice arbitrario o causare un crash dell’applicazione tramite un documento PDF.

Questa variante di malware ha capacità di infezione su sistemi target che hanno utilizzato versioni precedenti di Adobe Reader (precedenti alla 9.4) e Acrobat (precedenti alla 8.2.5) su Windows e Mac OS X.

Asruex infetta un sistema attraverso un file di collegamento che ha uno script di download di PowerShell e si diffonde attraverso unità rimovibili e unità di rete. Il diagramma seguente illustra la catena di infezione del malware.

 

Una volta eseguito su una macchina, Asruex rileva se avast! Sandbox \ WINDOWS \ system32 \ kernel32.dll esiste e controlla anche se viene eseguito in un ambiente sandbox verificando:

  • Nomi di computer e nomi utente
  • Funzioni esportate da moduli caricati
  • Nomi dei file
  • Processi in esecuzione
  • Versione del modulo del processo in esecuzione
  • Alcune stringhe nei nomi dei dischi

Se il PC supera questi controlli, viene installata la backdoor del malware e può iniziare le attività malevoli che si concentrano nel carpire dati. Asruex può anche essere usato come strumento di sorveglianza.

Conclusioni

Il Cert-PA, anche in relazione alle specifiche modalità di diffusione del malware, consiglia di aggiornare eventuali versioni di Office ed Acrobat vulnerabili facendo riferimento al rilascio di software correttivo predisposto dai rispettivi produttori.

Ulteriori misure che possono essere adottate per difendersi da Asruex e malware simili sono:

  • Effettuare sempre la scansione delle unità rimovibili prima di eseguire qualsiasi file che può essere immagazzinato al suo interno;
  • Evitare di accedere a URL sospetti o sconosciuti;
  • Prestare attenzione quando si aprono o si scaricano allegati e-mail, in particolare da e-mail sconosciuta o non richieste.

IoC

Gli unici indicatori al momento noti per questa variante di Asruex sono di seguito riportati:

  • SHA1: 611271e03531c65a098e05b48510b9e5d42cda6d
  • SHA256 :b261f49fb6574af0bef16765c3db2900a5d3ca24639e9717bc21eb28e1e6be77
  • MD5: 799c4e3af539cc3461f9f4faebf26485

La variante in oggetto è differente da quella rilevata a fine giugno 2019 dal JPCERT/CC