martedì 12 giugno 2018

E' raro rispetto ad altri paesi, ma ogni tanto avviene che alcuni ricercatori di sicurezza riportino campagne malware specificatamente rivolte contro il nostro paese. L'ultimo caso più noto è stato qullo del trojan URSNIF, un kyelogger-infostealer diffuso attraverso un raffinato e complicato schema di ingegneria sociale (maggiori info qui ).
 
DMOSK ha a che fare con URSNIF, ma usa una tecnica completamente diversa: sfrutta infatti, per la diffusione, una catena di diverse vulnerabilità per ottenere l'accesso ai computer delle vittime e installarvi quindi una nuova versione di URSNIF. 
 
Come si diffonde?
Tutto inizia con una email contenente un link: il testo è organizzato per convincere l'utente a fare clic sul link. Se il destinatario apre il collegamento, si avvia automaticamente il download e la decompressione di un archivio .zip. Dentro questo file ZIP c'è un Javascript (scan.jse.altamente offuscato che richiede un ulteriore clic da parte della vittima. Se viene aperto anche il file JSE si avvia il terzo stadio dell'attacco: viene scaricato un file in formato SCR che viene automaticamene avviato. 
 

Il Javascript altamente offuscato. Fonte: Yoroi.

Il tasso di identificazione
è stato bassissimo per qualche giorno: la maggior parte dei motori antivirus più diffusi non rileva l'eseguibile del malware. Stando ai dati di Virus Total solo 9 software antivirus su 69 lo identificavano come pericoloso. Oggi invece l'eseguibile del malware è riconosciuto già da 44 software antivirus su 69.


La quarta fase...
in questa fase di attacco viene eseguita in memoria una variante di URSNIF che, per prima cosa una volta installato, avvia le comunicazioni col server Command e Control dal quale riceve i comandi per le azioni dannose da eseguire sulla macchina infetta. Il trojan utilizza un sistema di black list per selezionare le vittime: i parametri utilizzati comprendono la posizione geografica (è impostato per colpire utenti italiani specificatamente) e la tipologia di macchina infetta (non si installa sui server). Una curiosità è che, in black list, c'è una voce specifica per impedire compromissioni di macchine nel dominio del Massachusetts Institute of Technologies.
 
Teniamo di conto che il trojan è pensato principalmente per sottrarre informazioni sensibili dai computer sotto attacco (sopratutto credenziali di servizi Internet), ma le funzionalità possono essere estese tramite l'installazione di moduli ulteriori. L'ultimo report pubblicato, risalente a ieri, parla già di oltre 6.617 macchine compromesse.