Campagna Malspam Gootkit con dropper da 450 MB

07/12/2018

gootkit italia malspam


Nella giornata di ieri D3Lab ha rilevato una nuova campagna di Malspam che sta colpendo target localizzati in Italia veicolando il malware Gootkit.

Caratteristiche della campagna

A differenza delle altre campagne tracciate in precedenza che veicolavano il malware Gootkit,  la campagna attuale presenta le seguenti caratteristiche aggiuntive:

  • controllo Preventivo del sistema target da compromettere;
  • file Dropper scaricabile tramite link che, una volta scompattato, assume dimensioni tali da non poter essere sottomesso in sandbox di malware analysis online;

Struttura della mail

Come già analizzato in altre campagne, riporta D3lab, il vettore di attacco è sempre una mail con finti riferimenti a rapporti commerciali intercorsi tra le parti e/o conversazioni già intercorse.

Nel corpo della mail, scritta in un italiano non del tutto corretto, la vittima viene invitata a scaricare attraverso un link il documento/fattura/ricevuta relativa ad una fittizia transazione commerciale.

La mail è dotata anche di firma originale e riferimenti reali alle società di appartenenza dell’account mittente.

Di seguito un esempio di email:

Dettagli tecnici

Il Link presente nella mail analizzata da D3Lab riconduce la vittima verso le seguenti URL:

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881

dove viene effettuato un “controllo preventivo” lato server  per identificare il sistema operativo che sta effettuando la richiesta.

Nel caso in cui la richiesta provenga da un browser con User-Agent “Internet Explorer”  viene eseguito il download di un archivio .ZIP della dimensione di 536 KB denominato:

  • 2018 DICEMBRE DOCUMENTI.zip

Il file archivio contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati:

  • 04 DICEMBRE 2018.vbs
  • dbpreview.dat

Mentre il file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper e cambia nome con una certa frequenza.

Arrivati a questo punto entra in gioco la seconda caratteristica di questa campagna ossia la dimensione del file VBS. Infatti il file VBS una volta estratto dall’archivio aumenta notevolmente la dimensione sino a raggiungere 451,9 MB. Si suppone che tale tecnica sia stata utilizzata dagli attaccanti per non permettere l’upload del file stesso su nessuna delle piattaforme che effettuano analisi del malware.  Infatti il codice reale (offuscato), una volta estratto, è composto da poche righe come visibile nello screenshot seguente:

La tecnica che è stata utilizzata per rendere il file VBS di grandi dimensioni una volta estratto, è stata quella di inserire all’interno del codice numerose righe vuote che grazie all’algoritmo di compressione non hanno dimensione, ma tornano ad essere “presenti” una volta scompattato. Di seguito un esempio:

Analizzando il codice si evince che il file VBS colleganodosi alla url http://pixelors[.]com/ShareImage.php effettua il download di un file “opr.exe” il quale viene salvato nella cartella “%TEMP%” di sistema.

Il file denominato “opr.exe” risulta essere un campione appartenente alla famiglia Gootkit il cui scopo è quello di intercettare il traffico, raccogliere informazioni, soprattutto bancarie, ed infine comunicare sulla porta 443 con il server di C&C che nel caso analizzato risulta essere “antoniojguerrero[.]com” risolvibile con indirizzo IP 185[.]248[.]160[.]132.

Altra caratteristica della campagna è che il malware in fase di esecuzione effettua una serie di controlli per sfuggire alle sandbox e agli strumenti di debug utilizzando la funzione IsDebuggerPresent() la quale viene invocata 49 volte all’interno del codice malevolo.

Superata la fase di controlli anti-sandbox e debugger , il malware esegue come step finale la modifica delle policy dal registro di sistema assegnando il valore REG_DWORD 2500 con impostazione 3 al fine di disabilitare la modalità protetta della Internet Zone e infine avvia il monitoring e la comunicazione verso il C&C.

Analisi closint

Da analisi closint effettuate dal CERT-PA relativamente al server con indirizzo IP 185[.]248[.]160[.]132 è stata rilevata costante attività malevola a partire dal 4 dicembre 2018 fino a giorno 6 dicembre. Si hanno evidenze che la campagna si sta diffondendo sul territorio nazionale e quindi si consiglia di mantenere alto il livello di attenzione. Ulteriori IoC individuati dal CERT-PA sono di seguito riportati.

Indicatori di Compromissione

  • IoC (.txt) – File globale :   Domini, hash files (SHA1, MD5 e SHA256), URLs, IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr