Campagna e-mail dannosa finalizzata a veicolare malware per sottrarre informazioni

23/10/2018

italia malspam malware

Nell’ambito della propria attività istituzionale, il CERT-PA è venuto a conoscenza di una campagna di e-mail dannosa ai danni di organizzazioni italiane che veicola alcuni eseguibili compilati in Visual Basic. Dalle analisi sul malware sono emersi chiare funzioni finalizzate alla cattura di informazioni (Information Stealing).

La minaccia consta di due fasi:

  • la prima fase, tramite il ricevimento della e-mail,  scarica un “dropper” ubicato su un sito web esterno
  • la seconda fase prevede l’installazione del componente malevolo con funzionalità di “information stealing”.

Il C&C associato al malware, alla data 22/10/2018, risultava attivo e collezionava informazioni provenienti dai PC infetti.

Le mail malevoli, utilizzate nella campagna tra 15 e il 21 Ottobre 2018, contengono oggetti del tipo:

  • Invio fattura di acquisti N.05895669376192219946135
  • Invio fattura di acquisti N.7832127663789883
  • Invio fattura di acquisti N.83540273631128990

Nel corpo dei messaggi è inserita la URL con puntamento al file malevolo, costituito da un archivio con estensione .zip.

La URL individuata è:

  • hxxp://www.armoniasrl.com/components/com_chronoforms/libraries/includes/FATTURA_16_10_2018_PDF_DOC_ZIP.zip

Tale url, al momento attiva, avvia il download di un file denominato:

  • “FATTURA_16_10_2018_PDF_DOC_ZIP.zip”

archivio contenente al suo interno il file:

  • “FATTURA_16_10_2018_PDF_DOC_ZIP.exe”

FIRST STAGE

In base alle analisi effettuate sul file FATTURA_16_10_2018_PDF_DOC_ZIP.EXE risultano le seguenti attività malevoli:

  1. il malware si connette via FTP al seguente server: tantiannunci.altervista.org con la seguente utenza: tantiannunci e password: g***********;
  2. viene quindi eseguito il download del seguente file presente sul server FTP: “manual.pdf” che in realtà risulta un eseguibile ed effettua ulteriori azioni indicate nella sezione “second stage”;
  3. sul server FTP viene trasferito il file di log codificato che presenta il filename nel seguente formato: CONN_- . Il file contenente informazioni raccolte attraverso comandi DOS eseguiti attraverso lo spawning di CMD: “net share”, “ipconfig /all”, “dir c:\”;
  4. l’eseguibile ottiene la persistenza attraverso la modifica delle chiavi di registro:[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “Svchost Microsoft” = “C:\\Users\\UTENTE\\cmd32.exe”
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    “Svchost Microsoft” = “C:\\Users\\UTENTE\\cmd32.exe”
    [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    “Microsoft Services” = “C:\\Users\\UTENTE\\cmd32log.exe”
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    “Microsoft Services” = “C:\\Users\\UTENTE\\cmd32log.exe”

SECOND STAGE

Il secondo file (MANUAL.PDF) analizzato è un vero e proprio keylogger ed eventlogger e le sue caratteristiche sono:

  • File name: manual.pdf (in realtà si tratta di un file PE)
  • File size: 53.2Kb
  • MD5: 07132b25b3fb4fcba07891d2cd3e666f (fino al 19/10)
  • MD5: 8d34eae0e809e147d37d2d669ab3c2b5 (dal al 19/10)

Il file, una volta eseguito, rimane in esecuzione ed inizia un’attività di “information stealing”, che viene tracciata, in un file ubicato localmente in “C:\Users\system64.log”

Attraverso il debugging dell’eseguibile è stato identificato l’algoritmo di offuscamento utilizzato:

L’operazione di offuscamento è byte * 2 + 1234.

Attraverso attività di decodifica dei files creati dal malware, è stata individuata la tipologia di informazioni raccolte e dove, oltre al sito FTP, tali dati vengono inviati:

Il malware, tra le altre cose, cerca di raccogliere password attraverso l’uso del comando “findstr” ed effettua una connessione verso l’IP 79.0.91[.]33. Esaminando lo stream dei comandi, risultano chiari alcuni comportamenti:

  • i nomi dei file hanno dei flag che ne consentono l’identificazione (*_P per le password, *_A per le informazioni di rete;
  • alcune delle informazioni vengono inviate al sito FTP tantiannunci.altervista[.]org, altre verso un IP di una ADSL Italiana (79.0.91[.]33).

Analisi dei C&C

Il dominio tantiannunci.altervista[.]org (IP 136.243.147[.]155) risulta registrato su altervista.org con i seguenti dati:
– Nome e cognome: Karlo Scelzo
– Nazione: Italy
– Provincia: Cuneo
– Città: Cuneo
– Indirizzo: via Milano 12
– Cap: 12010
– Attuale indirizzo email: giudamaligno.6.66@gmail.com
– Alias: tantiannunci@altervista.org

Al momento tale server C&C presenta al suo interno più di 400 files di logs derivanti da PC infetti, la maggior parte dei quali risultano nomi di PC italiani, permettendo di ipotizzare che la minaccia sia finalizzata a colpire utenti e sistemi sul territorio italiano.

Per quanto riguarda l’IP 79.0.91[.]33, in base alle informazioni ottenute tramite una richiesta “whois”, risulta appartenente ad un ADSL Telecom Italia ed utilizzato dal malware per inviare dati tramite share SMB.


Indicatori di compromissione

  • IoC (.txt) – File globale: hash file, URL, Domini, IP, oggetti email
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr