Dalla scorsa settimana i Quick Heal Security Labs stanno osservando una serie interessante di malware pericolosi, bloccati sulle macchine dei nostri clienti. La quasi totalità contenevano il malware 't.exe', che si è rivelato essere un trojan dropper (usato cioè per scaricare altri malware). La particolarità è che questo trojan dropper può scaricare sia una componente ransomware sia una componente per il mining di criptovaluta. Non contento, tenta pure di eseguire operazioni ulteriormente dannose connettendosi a uno o più server Command&Control. Nel dettaglio questa campagna, tutt'ora in corso, diffonde il ranomware GandCrab e il malware Monero Cryptominer. 

 

Non sappiamo quale sia il vettore iniziale dell'attacco del file 't.exe', ma sospettiamo fortemente che venga diffuso tramite email di phishing. La maggior parte delle email di phishing contiene link a URL dannosi, oppure ancora contengono allegati dannosi che scaricano malware sul sistema dell'utente. 

 

Sotto il funzionamento della catena di attacco osservata in questa campagna miner-ransomware. 

 

Anche se non abbiamo ancora individuato il vettore di attacco, siamo riusciti a tracciare la catena di attacco dall'URL dannoso 92.63.197.112/t[.]exe.

 

Il file 't.exe' è un file PE32 eseguibile solo per Microsoft Windows compilato in Microsoft Visual C++: è criptato e contiene una grande quantità di dati. Sotto è possibile vedere le risorse del malware. 

 

 

Dopo una prima analisi abbiamo scoperto che il malware legge una delle risorse, quindi la decripta. Decripta appunto del codice, ma anche un file compresso PE. Dopo la criptazione il controllo passa al codice decriptato, il quale decomprime il file PE in memoria e quindi sovrascrive il processo principale con il file decompresso. A questo punto il malware vero e proprio viene eseguito. Il file principale del malware contiene due processi a codifica fissa:  ‘process32First’ e  ‘process32next’. Enumerano vari processi e li comparano con una lista di 16 processi che indicano, se riscontrati, la presenza di Virtual Box e Virtual Machine coi relativi componenti. Verifica anche la presenza di eventuali sandbox tramite la presenza o meno della libreria “sbiedll.dll”. Sono classiche e molto diffuse tecniche anti sandbox e anti-VM. Se viene individuata la presenza di una qualsiasi forma di ambiente virtuale, il malware richiama la funzione ‘ExitProcess’ e blocca ogni processo in esecuzione. Insomma si interrompe. 

 

 

Se non riscontra ambienti virtuali, comincia l'infezione vera e propria: crea una copia di se stesso in %appdata%, rinominata con numeri random, nella cartella C:\WINDOWS\T-5682806352635035603\winsvc.exe. Subito dopo cancella la copia originale. Crea anche una chiave di registro (vedi sotto) che gli consentirà l'esecuzione ad ogni avvio di Windows

 

 

Come non bastasse, crea una ulteriore chiave di registro che disabilita Windows Firewall.

 

 

Il trojan rimane quindi persistente in memoria e tenta di inviare richieste a più server C&C tramite protocollo HTTP per scaricare ulteriori componenti dannosi. Tra i file che scarica troviamo file di testo, file Javascript, file PE ecc.. Nel dettaglio:

• exe : 001bc79a0cc7a86c81f5fd3dc55d1f1e (file ransomware)
• exe : 43cf277a897b299a8d0c27bbed98fa85 (Trojan)
• exe : 83df5b076f23e0bf2e68fbda29b245e2 (Trojan)
• exe : a3e5dabdfc394091e06e265f0c96c98d (cryptomining malware)
• exe : b74ad6183e0cc5471a219b4925c7e339 (Trojan)

new.exe altro non è che una vecchia conoscenza: è il ransomware GandCrab, che viene eseguito tramite uno script js. Inoltre prova a individuare immediatamente l'indirizzo IP della macchina tramite richiesta all'host ipv4bot.whatismyipaddress.com: l'operazione avviene in loop fino a quando un tentativo va a buon fine. Se invece non riceverà mai l'IP pubblico, semplicemente non cripterà alcun file. 

 

I server C&C 'hardcoded' nel malware sono:

• nslookup ransomware.bit wowservers[.]ru
• nslookup carder.bit ns1.wowservers[.]ru

Ultimo file scaricato da 't.exe' è un file di testo contenente un indirizzario di email, probabilmente ulteriori vittime verso le quali distribuire il malware miner e ransomware.

 

't.exe" scarica anche un altro file .exe, ovvero 'm.exe': la cui copia, chiamata 'wuapp.exe' per connettersi a monerhash.com tramite il protocollo TCP sulla porta 3333 (porta non standard) per avviare l'attività di mining. L'uso di porte non standard serve a evitare i software di sicurezza di rete come IDS/IPS.

 

 

le campagne malware ransom+miner rappresentano ormai una minaccia emergente alla sicurezza. Nell'ambito di tali campagne non si distribuiscono poi solo malware miner o ransomware, ma anche altri malware scaricati in successivi stage dell'infezione. Consigliamo ai nostri utenti di evitare l'accesso a siti web sospetti e di non fidarsi mai di email improvvise o provenienti da fonti sconosciute, sopratutto quando recano un allegato o incorporano un link. Mantenere l'antivirus aggiornato aiuta a individuare e prevenire infezioni al sistema, anche da parte di malware così complessi come quello appena trattato. Quich Heal esegue una meccanismo di individuazione molto efficace grazie all'avanzata tecnologia in uso: continuiamo costantemente il monitoraggio dei dati provenienti dai nostri clienti per aggiornare le nostre difese e sapere individuare prontamente le nuove minacce.