La foto sottostante riepiloga l'intero processo:

 

 

Come spiegato, solitamente un file .url contiene URL (in http o https): in questo caso, al contrario, abbiamo notato l'accesso alle condivisioni SMB per eseguire Javascript dannoso. 

 

 

Il file sopra si riferisce alla vulnerabilità CVE-2016-3353, nella quale Internet Explorer mal gestisce il file .url e consente l'accesso da remoto agli attaccanti che possono così bypassare le restrizioni di accesso previste. 

 

Queste condivisioni SMB sono pubblicamente accessibili, anche senza autenticazione. Le figure sotto mostrano la posizione della condivisione SMB "buyviagraoverthecounterusabb [.] Net / documents /": è qui che sono ospitati i Jascript dannosi. L'indirizzo IP di questa condivisione dannosa è "91.102.153.90".

 

 

 

 

Il Javascript in questione viene distribuito alla vittime attraverso il protocollo SMB. Una volta aperto il Javascript dannoso, questo apre l'applicazione "wscript.exe". 

 

 

Il secondo malware viene scaricato, senza che l'utente ne sia a conoscenza, dal Javascript dannoso stesso quando la vittima fa clic su "Open". Questo Javascript è altamente offuscato e serve solo come "first stage downloader". 

 

Il secondo malware viene scaricato nella cartella %TEMP% dal Javascript dannoso e attivato attraverso "cmd.exe". Questo è un eseguibile pesantemente offuscato che viene eseguito direttamente nella memoria. E' una variante di Quant Loader e può essere usato per scaricare altri malware. Al momento della nostra analisi, non abbiamo però rilevato altri malware scaricati da Quant Loader. 

 

Questo malware controlla per prima cosa le impostazioni linguistiche della tastiera e del sistema: non si attiva se riscontra le lingue russo, ucraino e kazako. 

 

 

Usa  la seguente chiave di registro per identificare la configurazione a 32 o 64 bit del sistema della vittima: quindi usa le stesse informazioni come parte della richiesta di ulteriori comandi che invia al server C&C.

 

Verifica anche la presenza delle seguenti voci di registro: 

 

 

Crea anche una copia di se stesso chiamata "dwm.exe" nella cartella \ e lo imposta per l'esecuzione automatica tramite la voce "Run" nel registro: ottiene così la persistenza sul sistema. 

 

 

Gli 8 numeri sono usati come idendificativo del bot (BotId), mentre il malware comunica col server C&C. Quindi modifica le autorizzazioni di accesso dell'utente alla cartella e al file dwm.exe in modalità di sola lettura: ciò impedisce all'utente di eliminare o modificare la cartella "dwm.exe".  Inoltre inserisce una regola aggiuntiva nel Firewall, garantendo così che le comunicazioni del malware su Internet possano scavalcare le regole di Firewall. 

 

Al momento dell'analisi, il server C&C non ha risposto: tuttavia l'analisi statica fornisce alcune informazioni sulla probabile comunicazione tra il server e le altre funzionalità di Quant Loader. In caso di risposta, il server C&C fa eseguire il download di altri file, solitamente librerie, ma anche malware, quindi fornisce i comandi per eseguirli. 

 

L'attacco con vettore .URL viene attualmente usato da Quant Loader. Ci aspettiamo però l'uso di questo nuovo vettore di attacco anche da parte di altre famiglie di malware nei giorni a venire.