“Divergent” malware Fileless

01/10/2019

divergent fileless malware nodejs windows

I ricercatori di Cisco Talos hanno individuato ed analizzato una nuova minaccia in grado di infettare sistemi tramite il payload denominato “Divergent”. Il malware utilizza NodeJS ed è stato recentemente utilizzato per colpire reti aziendali e condurre frodi di varia tipologia.

Caratteristiche

Devergent è osservato negli Stati Uniti e di recente anche in Europa. La caratteristica principale è quella di diffondersi senza allegati/macro. Presenta caratteristiche simili al malware Kovter e come quest’ultimo fa affidamento sul registro di sistema per la gestione temporanea e l’archiviazione dei dati di configurazione al fine di evitare eludere la scansione degli antivirus. Utilizza inoltre una chiave nel registro per mantenere la persistenza e fa largo uso di PowerShell per installarsi sull’host infetto. Il malware si installa come un’applicazione HTA e crea diverse chiavi di registro contenenti diverse parti del payload e del malware PE.

Il malware crea tre nuove chiavi di registro denominate in modo casuale, ognuna contenente una componente diversa del codice del payload necessaria per eseguire il malware PE rendendo di fatto non visibile alla scansione. Successivamente, il file HTA viene scritto nella cartella CSIDL_COMMON_APPDATA (in genere C:\ProgramData\) e impostato per essere eseguito ogni volta che l’utente accede aggiungendo una voce alla chiave di registro “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”.

L’HTA valuta con uno script di tipo JScript la chiave di registro “HKLM\Software\ZfjrAilGdh\Lvt4wLGLMZ” tramite un’istruzione “ActiveXObject.Wscript.Shell.RegRead” per poi eseguire uno script di tipo Powershell. Il malware in oggetto è composto da due componenti principali: una per ricevere ed eseguire comandi da un server C2 e un’altra per eseguire script esterni. La configurazione per ciascuna parte è memorizzata nel registro di sistema in formato JSON.

Al momento dell’esecuzione il malware esegue una serie di controlli per consentire di bloccare eventuali scansioni di Windows Defender o di altri antivirus presenti.

L’analisi dettagliata è riportata sulle pagine di Cisco Talos, compresi gli indicatori utili a individuare la minaccia.

Si raccomanda la consultazione delle pillole informative relative phishing disponibili nell’apposita sezione sul sito del CERT-PA.