Quasar RAT: nuova campagna phishing

27/08/2019

quasar rat

Durante la consueta attività di monitoraggio, il Cert-PA ha individuato una nuova campagna di phishing che utilizza, come allegati, dei falsi “CV” progettati per distribuire payload dannosi riferibili a Quasar RAT per ambiente MS Windows.

Il malware è noto per essere stato ampiamente diffuso nel corso del 2018 tramite attacchi rivolti allo sfruttamento di vulnerabilità di Microsoft Office.

Tra le caratteristiche di Quasar si evincono:

  • l’apertura di connessioni desktop remote
  • la registrazione di sequenze di tasti
  • il furto delle password
  • l’acquisizione di schermate
  • la registrazione di webcam
  • il download
  • l’esfiltrazione di file oltre al controllo dei processi attivi sui sistemi infetti.

La campagna in oggetto, volta a diffondere il RAT, avviene tramite malspam ed utilizza un documento protetto da password. Quando la vittima digita la password “123” fornita nel testo messaggio, il documento richiede l’abilitazione delle macro per poter avviare il processo di infezione. Se la macro viene eseguita correttamente, all’utente verrà mostrata una serie di immagini a conferma del buon esito dell’operazione.

 

 

Un aspetto di interesse emerso nel corso delle analisi, è l’utilizzo di elevata entropia nel codice delle macro. Si è notato infatti che l’analisi delle macro, effettuata tramite l’utilizzo di strumenti automatizzati o manuale (come il popolare “olevba”), provocherebbe il potenziale arresto dello strumento a causa di un anomalo utilizzo di memoria. Questo effetto è probabilmente intenzionale dal momento che l’autore utilizza oltre 1200 righe di codice Garbage, che sembra essere codificato in base64, per strutturare la macro.

Indicatori di compromissione

Di seguito gli indicatori di compromissione associai alla variante del malware diffusa tramite la campagna in oggetto:

Malware

Filename \ MD5
0.doc \ 1d7328b01845117ca2220d8f5e725617
Period1.exe \ 15dbb457466567bfeaad1d5c88f4ebfe
Uni.exe \ e7bcec4d736a6553b4366b0273aaf6f8

Network

hxxp://1xv4[.]com/due[.]exe
toptoptop1[.]online
toptoptop1[.]site

Si forniscono ulteriori IoC, riferibili a generiche varianti Quasar RAT, rilevati “in-the-wild” a partire dal giorno 25 Agosto 2019.

  • IoC (.txt) – Domini, URL, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Approfondimento

Un utile approfondimento sulle funzionalità di Quasar RAT è riportato nel report di analisi del US-Cert.

Taggato  quasar rat