Lo diciamo da qualche tempo: i cyber attacchi tramite email di phishing sono in crescita costante. Tra le varie tecniche di phishing, l'uso di documenti con macro dannose integrate è ormai una consuetudine. Qualche giorno fa i Quick Heal Security Labs hanno individuato una email di phishing che usa un exploit per l'editor per le equazioni di Microsoft Office che diffonde il keylogger Hawkeye. I keylogger sono software dannosi pensati per sottrarre dati sensibili. 

 

Il keylogger attualmente in distribuzione è la versione 8 di Hawkeye: questa versione sfrutta la vulnerabilità  CVE-2017-11882 del Microsoft Office Equation Editor per infiltrarsi nella macchina bersaglio. Questo exploit usa nuove tecniche per evadere i controlli dei prodotti antivirus. Ad esempio, compila il proprio codice mentre viene eseguito e caricato nella memoria il payload, senza salvarlo in locale. 

 

 

La vulnerabilità di "buffer overflow" è presente nel record "FONT" nell'oggetto nativo di equazione. Per sfruttare questa vulnerabilità, l'oggetto OLE deve richiamare l'equazione e, per farlo, necessita di includere nel file OLE il flusso dell'equazione nativa. Ciò può essere fatto in due modi:

1. usando il flusso "Equation Native";
2. usando il CLSID del flusso "Equation Native".

In questo caso caso viene usata la seconda via. Come si vede in foto, viene usato il flusso "OLE10native" per elaborare il flusso dell'oggetto OLE verso l'"Equation Native". 

 

 

Eseguito l'OLE, l'editor di equazioni viene richiamato e avvia l'analisi del record. L'exploit della vulnerabilità comporterà l'esecuzione dello shellcode e, infine, il download del payload dannoso dal server C&C degli attaccanti. 

 

 

Lo shellcode si connette all'URL per scaricare il malware usando l'API “URLDownloadToFileW” presente nella dll Urlmon, quindi esegue varie attività dannose. In questo caso viene scaricato il keylogger Hawkeye, che esegue attività di keylogging e invia idati usando server SMTP. 

 

Hawkeye si esegue in 3 step: per prima cosa inietta il payload in RegAsm.exe, quindi cattura ogni battitura sulla tastiera e le credenziali salvate nel browser, i dati di Outlook così come i file manager FTP quindi li invia usando il protocollo SMTP. RegAsm.exe è una utilità legittima di Microsoft .NET framework: questo passaggio fa si che quello che sembra essere appunto una utilità legittima in realtà è il keylogger Hawkeye. Inutile dire quanto questo complichi la capacità di individuazione da parte dei prodotti di sicurezza. Infine, per garantirsi l'esecuzione dopo il reboot, il malware crea una apposito comando di esecuzione. 

 

questo keylogger in realtà esegue varie operazioni e funzionalità dannose. Eccone alcune:

• cattura le battiture sulla tastiera e gli appunti;
• copia l'FTP e le credenziali email;
• per l'anti-debugging usa SuppressIldasm e ConfuserEx 1.0;
• per disabilitare gli antivirus e vari tool di sicurezza aggiunge una chiave di debugger e un valore rundll32 nell'Image File Execution per quelle applicazioni;
• usa tool legittimi come MailPassview o BrowserPassView per rubare le password; 
• usa tecniche anti-sandobox come la funzionalità Thread.sleep() per posticipare l'esecuzione;
• usa una criptazione base64 per inviare dati al server C&C;
• disabilita il task manager, il prompt dei comandi e il registro;
• interrompe cmd.exe e wscript.exe...

Hawkeye verifica il tipo di utente, quindi raccoglie informazioni come il nome dell'host, i dettagli del BIOS, dei prodotti antivirus e firewall quindi le invia a SUNDA[@]doctorework[.]com. Crea quindi una connessione SMTP per inviare i dati rubati al server
us2[.]outbound[.]mailhostbox[.]com: come detto, questi dati vengono inviati in forma criptata. 

 

 

Il sito web pomf[.]cat  viene invece usato per raccogliere, tramite HTTP POST request, gli screenshot raccolti sul sistema della vittima. Porta con sé una lista di programmi antivirus o simili, come Windows Defender, Wireshark ecc...in maniera tale da impedirne l'esecuzione aggiungendo una specifica chiave di registro

 

Quick Heal, grazie alla protezione multi livello, individua e blocca questa minaccia.

• Individuazione del file PDF: PDF.Downloader.31377
• Individuazione di Hawkeye: Trojan.Ransom, Pwstool.Netpass e Trojan.IGENERIC
•