Malspam consegna formati legati ad immagini disco per diffondere malware RAT

24/12/2019

lokibot malware nanocore rat remcos

Il CERT-PA, durante il monitoraggio delle fonti OSINT, è venuto a conoscenza di una ricerca condotta da Trustwave che ha evidenziato una campagna di malspam volta a diffondere malware di tipo RAT (Remote Access Trojan) tramite allegati malevoli costituiti da formati legati ad immagini disco. I ricercatori hanno anche reso noto che l’utilizzo di questi formati è incrementato nel corso dell’anno. La ricerca effettuata da Trustwave si riferisce ad un recente caso che vede l’utilizzo di riferimenti del noto marchio di spedizioni FedEx per veicolare NanoCore, Remcos e Lokibot attraverso l’invio di file con estensione .ISO e/o .DAA.

Un’immagine disco è generalmente assimilabile ad una copia software di un disco fisico nella quale vengono salvati tutti i dati dal disco, inclusa la struttura dei file e tutti i file e le cartelle, in un singolo file. Il software di imaging del disco include formati come ISO, IMG, VHD, VDI, VMDK, VHD, DAA ecc.

Di seguito rappresentate due campagne che utilizzano formati di immagine del disco per la distribuzione di malware tramite collegamenti di phishing e come allegati:

Caso 1: Campagna di malspam per veicolare NanoCore

La prima campagna è un falso messaggio e-mail, tipico delle campagne di malspam, che induce a cliccare su un collegamento per effettuare il download di un archivio ISO contenente un singolo eseguibile del RAT Nanocore.

 

Un file ISO (spesso chiamato immagine ISO), è utilizzato per effettuare immagini di dischi ottici come CD / DVD. Vengono spesso utilizzati per il backup di dischi ottici o per la distribuzione di set di file di grandi dimensioni. Gli autori di malware hanno iniziato ad abusare di questi archivi riutilizzandoli per veicolare malware. Windows riconosce queste estensioni come eseguibili e le versioni recenti di Microsoft Windows 10 e Windows 8 hanno la capacità integrata di montare i file di immagine del disco .ISO quando vengono aperti.

Facendo clic sul collegamento viene scaricato un archivio ISO chiamato “FedEx, pdf.iso“. L’archivio ISO è stato compattato utilizzando tecniche di offuscamento, per cui da una prima analisi non viene rilevato come malevolo.

Il file ISO contiene un eseguibile che parte non appena aperto/montato l’archivio. Lo stesso procede quindi a creare un processo di comunicazione verso il server C&C come anche evidenziato in una precedente news.

Nel caso in questione viene veicolata la versione di NanoCore 1.2.2.0.

Caso 2: Campagna di malspam per veicolare Remcos

Il secondo caso analizzato prende come esempio una campagna di malspam tramite un allegato e-mail, questa volta con il formato immagine disco DAA e come spesso accade con mittente “spoofato“.

Il testo nel corpo dell’email invita il destinatario di aprire l’allegato DAA.

DAA è l’acronimo di Direct Access Archive. A differenza dei file ISO, i file DAA non sono riconosciuti da Windows, quindi non verranno montati quando si fa doppio clic. Solo i computer Windows con applicazioni specifiche installate, come PowerISO, UltraISO e WinArchiver, possono aprire questi file.

Gli allegati DAA osservati da questa campagna contengono solo un file eseguibile, che ha lo stesso nome del file DAA principale ma con estensione .com e/o .exe . Gli eseguibili veicolano l’ultima versione di Remcos RAT ovvero la 2.5.0 Pro.

Remcos utilizza un servizio di Dynamic Dns (DDNS) per collegarsi ai server C&C e come per le versioni precedenti risulta essere uno dei più popolari trojan di tipo RAT. L’aggiornamento continuo lo rende particolarmente difficile da rilevare. Maggiori dettagli possono essere reperiti in una precedente news.

Remcos 2.5.0 Pro introduce anche una nuova funzionalità, che consiste nel cancellare accessi e cookie dei browser. E’ possibile che la funzionalità introdotta serva a cancellare ogni traccia dell’attività svolta dall’utente remoto una volta che il sistema è stato compromesso.

La catena d’attacco

Come rappresentato nell’immagine seguente, i due esempi osservati utilizzano formati di immagine del disco per la distribuzione di malware e possono utilizzare collegamenti internet contenuti nel corpo del messaggio o allegati malevoli:

Considerazioni finali

I cyber criminali stanno di fatto contando su nuovi metodi di attacco per diffondere malware. L’utilizzo di estensioni associate alle immagini disco permette di superare criteri di restrizione presenti su estensioni note. Alcuni di questi formati sono nativamente supportati da Windows e possono risultare difficilmente identificabili dalle consuete protezioni antivirus. La diffusione di questo tipo di attacchi è quindi in costante crescita pertanto è opportuno valutare azioni di contrasto specifiche tra cui:

  • Bloccare la consegna di estensioni come VHD, VHDX, VDI, VMDK, DAA, ISO e IMG nei gateway e-mail quindi il download dal web per gli utenti che non trattano questo tipo di estensioni;
  • Disabilitare, ad esempio tramite la modifica del registro di Windows, l’associazione dei file per queste estensioni in modo che non vengano automaticamente aperte al doppio clic:

Come per altre campagne il CERT-PA raccomanda di non aprire allegati di cui non è certa la provenienza. Per ulteriori e più generici accorgimenti si rimanda al bollettino emesso dal CERT-PA riguardante le “Azioni utili per contrastare l’esecuzione e la diffusione di malware“.

Indicatori di compromissione

Si riportano gli indicatori rilevati da fonti OSINT relativi a RemCosRAT, NanoCoreRAT e LokiBot rilevati nel corso del mese corrente nel contesto Europeo:

  • IoC (.txt) – Domini, Hash, URL
  • Hashr (.txt) – Hash