Scoperti collegamenti tra Danabot e Gootkit

10/12/2018

danabot gootkit malspam malware pec

In base ad una ricerca degli analisti di ESET, il trojan bancario Danabot, sta potenziando la sua attività malevola grazie ad una “collaborazione” con il gruppo criminale associato al malware Gootkit, altro trojan avanzato, già segnalato in precedenti news del CERT-PA  ed in particolare nella Campagna malspam indirizzata verso PEC italiane.  Attualmente Danabot, oltre alle funzioni di trojan, sarebbe in grado di sfruttare gli account web mail compromessi per la distribuzione di malware.

Scenario d’attacco

Fase 1: raccolta degli indirizzi e-mail

L’attacco sfrutta la tecnica del webinject che prevede l’inclusione di codice malevolo all’interno di una pagina web. Nel caso di Danabot, viene iniettato codice Javascript, nella fase di login alla webmail, all’interno delle pagine web del servizio di posta. Questo codice sarebbe in grado di raccogliere gli indirizzi e-mail contenuti negli account compromessi delle vittime e inviare i dati raccolti al C&C dell’attaccante.

Fase 2: invio spam

Se la webmail è basata su Open-Xchange (piattaforma utilizzata da libero.it), Danabot inietta un ulteriore script in grado di sfruttare l’account della vittima per inviare messaggi di posta a tutti gli indirizzi email raccolti. Le email vengono inviate come risposte a messaggi già presenti in casella, in modo da rendere più efficace la campagna malevola e più veritieri i messaggi agli occhi dei destinatari.

Dalla ricerca emerge che gli attaccanti sarebbero particolarmente interessati agli indirizzi email aventi sottostringa “pec”, tipicamente utilizzata per gli indirizzi di posta elettronica certificata italiani.  Ciò conferma che l’attacco è mirato su aziende e pubblica amministrazione.

I messaggi includono un allegato zip che viene pre-scaricato dal server dell’attaccante attraverso il codice JavaScript di seguito illustrato:

L’archivio ZIP contiene  un file PDF (non malevolo) e un file VBS malevolo. Quest’ultimo, se viene eseguito, scarica il malware attraverso un comando Powershell.

Collegamento tra Danabot e Gootkit

Il file VBS di Danabot punta a un modulo di download di GootKit, il famoso trojan bancario e il suo codice, generato automaticamente, varia ogni volta. Secondo la ricerca di ESET, è la prima volta che indicatori di Gootkit vengono ritrovati in Danabot. Finora i gruppi criminali dietro a Danabot e Gootkit non erano mai stati collegati fra di loro, entrambi hanno sempre agito come gruppi “chiusi”, mantenendo il codice sorgente segreto. Recentemente si sta invece assistendo ad un’apertura dei due malware: anche GootKit avrebbe infatti distribuito il trojan Emotet in occasione delle campagne malevoli, avvenute durante il Black Friday e il Cyber Monday.

Oltre alla presenza di Gootkit sui server di Danabot, sono state ritrovate altre evidenze che provano il collegamento tra questi due gruppi criminali:

  • la telemetria di ESET ha rilevato attività di Gootkit verso una sottorete 176.119.1.0/24 del server C&C e a un domino di primo livello (TLD) utilizzato da Danabot;
  • i nomi domini di Danabot , anche se appartenenti tutti al TLD “.co”, cambiano nel giro di qualche giorno (per esempio egnacios[.]co, kimshome[.]co ecc).
  • i sample di Gootkit scaricati attraverso il payload malevolo sul C&C di Danabot hanno funetax[.]co e reltinks[.]co come loro C&C, entrambi risolti nell’IP 176.119.1.175;
  • i domini di Danabot e Gootkit condividono lo stesso domain registrar (Todaynic.com Inc) e soprattutto hanno lo stesso name server (dnspod.com).

Inoltre, come evidenziato in figura, a partire dal 29 ottobre è stato rilevato un grosso decremento della diffusione di Danabot in Polonia e contemporaneamente nello stesso periodo si è avuto un picco dell’attività di Gootkit che ha utilizzato lo stesso metodo di diffusione di Danabot delle precedenti campagne polacche.

Conclusioni

Danabot non si può quindi più definire un semplice trojan bancario, visto il numero di funzionalità in continuo aumento e gli indicatori comuni con il gruppo del malware Gootkit. Attualmente il malware, la cui funzionalità di malspam ha come target solo l’Italia, è veicolato via PEC, canale normalmente considerato affidabile. Si invita quindi a prestare la massima attenzione ai messaggi non attesi e/o sospetti e in particolare a quelli dotati di allegati con estensioni file potenzialmente pericolose (quali .vbs o .lnk).

Indicatori di Compromissione

  • IoC (.txt) – File globale :   Domini, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr