Campagna di malspam per la diffusione del malware Astaroth

05/09/2019

astaroth cloudflare malware

Astaroth Trojan Uses Cloudflare Workers to Bypass AV Software

Il Cert-PA è venuto a conoscenza di una campagna di malspam relativa ad una nuova variante del malware Astaroth.

Alcuni casi presentano in allegato immagini JPG o PNG, in altri dei link che eseguono codice Javascript su Cloudflare ma, nella stragrande maggioranza dei casi è presente un archivio .7zip contenente un file .INK al quale spetta il compito di dare il via alla compromissione.

Nello specifico, il trojan Astaroth avvalendosi di servizi Windows legittimi (WMIC, ovvero Windows Management Instrumentation Console, ma anche BITSAdmin) si connette con server remoti dai quali scarica vari payload funzionali.

L’utilizzo di Cloudflare rende l’esecuzione invisibile agli antivirus, almeno per la scansione dell’allegato. Inoltre viene utilizzato per fornire diversi tipi di payload in formato JSON a seconda della posizione del target per consentire agli aggressori di modificare rapidamente i file dannosi per vari target ed evitare di essere bloccati in base ai tipi di file inviati alle macchine delle loro potenziali vittime.

Cloudflare Workers script editor

Uno script viene salvato sul computer della vittima dall’URL di anteprima dell’editor di script della dashboard di Cloudflare Workers che viene eseguito utilizzando il processo Windows Script Host (Wscript) e successivamente scarica il payload finale rilasciato come parte della terza fase del processo di infezione.

Quest’ultima fase utilizza il caricamento di una DLL per rimpiazzare i processi legittimi e di una ulteriore DLL dannosa che comunica con i profili YouTube e Facebook controllati dagli aggressori per ottenere gli indirizzi del server di comando e controllo (C2) come riportato dai ricercatori di Morphus Labs in un’analisi di una variante Astaroth quasi identica.

Inoltre da una ricerca di Cybereason di febbraio 2019, Astaroth procede anche a sfruttare una libreria DLL usata all’antivirus Avast per eludere le sue scansioni, e procedere alla ricerca di altre informazioni.

Conclusioni

Il Cert-PA consiglia sempre di prestare la massima alle mail di cui non si conosce la provenienva e ricorda che è sempre una buona norma tenere costantemente aggiornato sia il sistema operativo che il proprio antivirus.

Indicatori di compromissione

  • IoC (.txt) – IP, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr