Trojan bancari diffusi tramite la vecchia falla nell’Equation Editor di Microsoft Office

12/09/2018

banking malware trojan
Recenti evidenze raccolte dai ricercatori di Securonix hanno portato alla luce casi di diffusione di nuove varianti del malware bancario Kronos.
Questo malware è stato individuato per la prima volta nel giugno 2014 su un forum Russo. Rimasto inattivo per qualche anno, nel luglio del 2018 è apparsa una nuova variante conosciuta come Osiris che si diffuse, tramite tre distinte campagne, in Germania, Giappone e Polonia.
Vettore di infezione
Il principale vettore utilizzato per diffondere il trojan bacario è costituito da campagne di phishing con messaggi contenenti documenti Microsoft Word e allegati RTF appositamente predisposti per sfruttare una ben nota vulnerabilità nell’editor delle equazioni di Microsoft Office (CVE-2017-11882) che consente all’utente malintenzionato di eseguire codice arbitrario.
 
Illustrazione della catena dei processi invocata dall’apertura di un documento di esempio (MD5 bb40f81a07d454b24edcdc7745f9e00e) che sfrutta la vulnerabilità del componente di Office:
 
Caratteristiche principali di Kronos
Kronos/Osiris utilizza meccanismi Anti-VM o Anti-Sandbox per eludere il rilevamento o l’analisi in un ambiente virtuale. In molti casi, il malware modifica anche le impostazioni delle zone Internet e abbassa le impostazioni di sicurezza di Firefox per evitare di essere bloccato qualora tenti un attacco man-in-browser e webinject in siti web di istituti bancari.
 
Indicatori di compromissione 

Di seguito gli IoC associati al malware Kronos rilevati dal 28 luglio 2018 al 9 settembre 2018:
 
IoC (.txt)

Approfondimento

Verifiche condotte dal CERT-PA, relativamente al monitoraggio di documenti predisposti per lo sfruttamento della vulnerabilità (CVE-2017-11882), emergono recenti casi con diretto impatto sul territorio italiano.
 
 
Di seguito gli indicatori di compromissione individuati a partire dal giorno 9 settembre 2018:
 
IoC (.txt) – SH256, MD5, Tipo di file, domini, indirizzi IP