Sofisticata campagna di phishing volta a distribuire nuovamente il malware URSNIF

11/10/2018

italia malware phishing ursnif


I Ricercatori Trend Micro hanno rilevato di recente una sofisticata campagna di phishing volta a distribuire il malware URSNIF.

La nuova campagna di phishing, a differenza delle precedenti, utilizza messaggi dall’aspetto legittimo e con allegati o collegamenti maligni incorporati nel testo, utilizza account email “violati” per inviare malware in risposta ad una comunicazione già intercorsa. Essendo l’e-mail parte di una conversazione legittima e continuativa, questo particolare “approccio” può spesso essere difficile da individuare.

Diffusione della campagna e principali Target

Gli attacchi rilevati sono molto simili a precedenti campagne di spam URSNIF / GOZI individuate all’inizio di quest’anno che utilizzavano i computer “violati” della botnet Dark Cloud per inviare e-mail. Dai dati raccolti dai ricercatori Trend Micro, si è scoperto che questa campagna ha colpito principalmente il Nord America e l’Europa, sebbene si sono riscontrati attacchi simili in Asia e nella regione dell’America Latina.

Gli obiettivi “target” degli attaccanti sono generalmente il settore dell’istruzione, finanziario ed energetico, ma ultimamente si stanno indirizzando anche verso il settore industriale, beni immobili, trasporti, produzione e governativo.

Analisi della campagna

A dimostrazione di quanto possa essere convincente questo nuovo tentativo di phishing, nella figura seguente viene riportata un’email d’esempio della campagna:

Figura 1: Esempio Mail Campagna
 

Poiché il mittente è familiare e il messaggio fa parte di una precedente conversazione, è facile per il destinatario credere che questa mail sia legittima e sia solo una risposta ad una discussione precedente. Inoltre, l’argomento e la grammatica sembrano essere corretti, ed è stata inserita persino una firma in calce all’email.

Analisi Header e-mail

Da un’analisi degli “header” dell’email si evidenziano le seguente caratteristiche della campagna:

Solitamente l’approccio spam/phishing è quello di falsificare il mittente con un’intestazione SMTP “Return-Path” o “Reply-To” in modo che il destinatario previsto risponda all’attore delle minacce. Negli esempi di questa campagna vi è la mancanza di entrambi le intestazioni SMTP “Return-Path” o “Reply-To” e quindi le risposte verranno inviate all’effettivo account utilizzato per inviarle. Questo fa pensare che l’attore delle minacce probabilmente ha l’accesso autenticato all’account mittente.

L’esistenza dell’intestazione “In-Reply-To” (e di altri campi di intestazione SMTP simili) è la caratteristica di questa campagna in quanto vengono utilizzati messaggi in risposta a un thread di posta elettronica esistente.

Il primo hop del messaggio email analizzato dai ricercatori Trend Micro è “rrcs-50-74-218-2.nyc.biz.rr.com”. Questo non è insolito per un utente domestico, ma a meno che non provenga da un lavoratore remoto, un account aziendale dovrebbe aver inviato l’e-mail iniziale da un server all’interno dell’organizzazione (ad esempio, un host all’interno di “sender.co.ca”).

Quello che possiamo supporre dall’analisi delle intestazioni è che l’attaccante ha in qualche modo ottenuto un account valido e sta usando questa casella per veicolare il malspam, inoltre è possibile che l’indirizzo IP del mittente indicato sia una macchina compromessa “zombi” nella botnet.

Analisi corpo e allegati e-mail

Analizzando il corpo e gli allegati del messaggio email si nota che gli attaccanti utilizzano come nome del file allegato il nome dell’organizzazione del mittente, molto probabilmente per rendere il messaggio più legittimo.

Il formato del nome del file allegato è in genere:

  • [sender_company] + [un verbo relativo alla conversazione, ad esempio richiesta] .doc

oppure

  • [sender_company] .doc

In alcuni casi sono stati utilizzati anche nomi di file generici come “Inquiry”, “Statement” e “Request”.

Analisi del Payload

L’e-mail nei casi più comuni contiene un file .doc malevolo. Se l’utente fa doppio clic e apre il file attiverà delle macro quindi PowerShell per scaricare l’ultima versione del malware URSNIF
dal server C&C.  Il downloader principale del malware ha diverse funzionalità:

  • controlla la versione del sistema operativo (l’esecuzione può essere eseguita solo se si utilizza Microsoft OS e, in particolare, Windows Vista) ed evita le impostazioni locali dei domini .CN e .RU.
  • raccoglie tutti i registri e li invia a C & C, quindi scarica malware e archivi aggiuntivi nel registro, una volta che tutti i componenti sono stati scaricati, lo script Powershell memorizzato in comsxRes viene eseguito.
  • inietta codice malevolo in explorer.exe per mantenere la residenza della memoria e la comunicazione con C & C ottenuta attraverso la rete TOR.

Il payload finale è un file DLL chiamato Client32 / Client64, a seconda dell’architettura host. Questo è anche memorizzato nel registro come la maggior parte dei componenti di questo malware.

L’obiettivo principale del payload è quello di eseguire il furto di informazioni, che include:

  •     Informazioni di sistema
  •     Elenco delle applicazioni installate
  •     Elenco dei driver installati
  •     Elenco dei processi in esecuzione
  •     Elenco dei dispositivi di rete
  •     Indirizzo IP esterno
  •     Credenziali di posta elettronica (IMAP, POP3, SMTP)
  •     Cookies
  •     certificati
  •     Cattura di video schermo (.AVI)
  •     Informazioni finanziarie tramite webinjects

Tutti i binari URSNIF analizzati hanno in comune una sezione crittografata. Questa sezione contiene tutte le stringhe correlate che verranno utilizzate nel codice e vengono decodificate solo durante il runtime. Ciò rende l’analisi più complessa in quanto elimina l’opzione di analisi o decompilazione delle stringhe.

Inoltre per impedire alle sandbox di ottenere informazioni come server e configurazione, questa variante di URSNIF controlla la posizione del cursore due volte nel codice. Una mancanza di cambiamento di posizione indica che viene analizzato in una sandbox, o possibilmente tramite un debugger. Questo controllo viene eseguito prima della decodifica della sezione BSS e porta a un ciclo infinito (e stringhe incomprensibili) se non eseguito correttamente. Il CERT-PA ha rilevato che la campagna di phishing ha impattato il territorio nazionale nel periodo 9-10-11 Ottobre 2018. Ulteriori analisi sono in corso, seguiranno aggiornamenti sulla diffusione della campagna.

Indicatori di Compromissione

In relazione al malware bancario Ursnif, il CERT-PA fornisce gli indicatori di compromissione rilevati e di seguito scaricabili in relazione al periodo e zona di impatto:

  • IoC nel periodo 09-10-11 Ottobre 2018 (.txt) SHA256, MD5, Tipo file
  • IoC nel periodo 09-10-11 Ottobre con impatto Italia (.txt) SHA256, MD5, Tipo file, Network

Aggiornamento del 4/12/2018

In data odierna è emerso, con impatto su almeno un importante ente della P.A., un caso di malspam che, utilizzando tecniche di spoofing, tenta di consegnare recenti varianti del malware Ursnif.

La campagna di malspam individuata, che potrebbe aver coinvolto ulteriori destinatari con altre formule di invio, è definita dai seguenti elementi:

  • Da: protocollo <protocollo[@]comunedianocastello.it>
  • Soggetto: Re: Razionalizzazione delle partecipazioni pubbliche (art. 20 D.Lgs. n. 175/2016). Pubblicazione delle Linee guida DT – Corte dei conti e del formato del provvedimento
  • Allegato: Diano_Castello.doc

Indicatori di Compromissione

Per il caso indicato il CERT-PA fornisce gli indicatori di compromissione rilevati tramite il contributo dell’ente della Constituency coinvolto:

  • IoC (.txtSHA256, MD5, network