Microsoft individua una campagna di distribuzione fileless del trojan Astaroth

Martedì 9 luglio 2019

Il team di Ricerca di Microsoft Defender ha individuato una campagna di distribuzione fileless del trojan per il furto di informazioni Astaroth. Astaroth è un trojan specializzato nel furto di informazioni che mira, ovviamente, ai dati più sensibili come le credenziali degli utenti usando un modulo keylogger, uno per il furto di screenshot e uno per l’intercettazione dei processi in esecuzione nel sistema operativo.

Questo trojan è conosciuto per l’abuso di tecniche LOLBins (Living off the land binaries): rientrano in questa definizione quelle tecniche di attacco che sfruttano i processi già presenti sulsistema. Tale tipologia di attacco presenta infatti un grande vantaggio: sfruttando processi già esistenti e legittimi, entro i quali nascondere le attività dannose, si riduce il rischio di individuazione da parte degli antivirus, dato che gli AV riterranno per forza “buoni” tali processi.

Astaroth in dettaglio sfrutta l’interfaccia della linea di comando di Windows Management Instrumentation Command-line (Wmic.exe) per scaricare e installare completamente di nascosto i payload del malware in background.

La campagna in corso: qualche dettaglio tecnico
La campagna malware individuata dal Microsoft Defender ATP Research Team usa svariate tecniche fileless e un flusso di infezione multi-stage, cioè in più stadi. Tutto inizia con una email di spear-phishing contenente un link dannoso che reindirizza la potenziale vittima verso un file .LNK.

Il doppio click sul file LNK comporta l’esecuzione del tool WMIC di cui parlavamo sopra: esso si esegue col parametro “/Format” e ciò consente il download e l’esecuzione di codice JavaScript. E’ tale codice il responsabile del download dei payload di Atsaroth, tramite l’uso del tool Bitsadmin.

I payload di Astaroth e gli stage di infezione
I Payload dannosi che vengono scaricati in background sono tutti codificati in Base64 e vengono decriptati sul sistema compromesso usando il tool legittimo Certutil: i payload sono 4 DLL caricate con l’uso del tool Regsvr32.

Il 1° file DLL caricherà in memoria un secondo file DLL che ne caricherà di riflesso un terzo, anch’esso progettato per decriptare e iniettare una 4° DLL in Userinit. La quarta libreria DLL funge da proxy per caricare una 5° DLL in memoria. L’immagine sotto mostra il complesso schema di infezione multi stage

Fonte: Microsoft Defender ATP Research Team

Il vero payalod del trojan infostealer Atsaroth è la 5° DLL, il cui scopo è il furto e l’esfiltrazione di vari tipi di informazioni sensibili che vengono raccolte dal sistema della vittima e inviate ad una serie di server di comando e controllo gestiti dagli attaccanti.

“E’ interessante notare” spiega Alessandro Papini, esperto di sicurezza IT e presidente di Accademia Italiana Privacy “come durante l’intera catena di infezione non venga mai eseguito alcun file che non sia uno strumento di sistema. E’ la cosiddetta tecnica “Living off the land”: gli attaccanti usano solo strumenti legittimi già presenti nel sistema bersaglio per mascherare il loro attacco da “attività regolare”. Questo è un tipo di attacco molto molto insidioso che, a quanto pare, è diretto verso le aziende, così almeno suggerisce l’uso di email di spear phishing come momento di inizio della catena di infezione”.

La buona notizia
Nonostante questo tipo di catena di infezione sia molto molto preoccupante, c’è un risvolto positivo della medaglia. Il bollettino diramato da Microsoft specifica come le funzioni di protezione di Microsoft Defender ATP siano riuscite a individuare e bloccare l’infezione. I ricercatori del Team Microsoft hanno spiegato, nelle conclusioni, che se “da una parte l’uso di tecniche fileless riduce il rischio di individuazione di un attacco, al contrario il loro abuso aumenta il rischio di individuazione: l’uso di tecniche fileless eccessivamente inusuali o anomale ottiene infatti l’effetto contrario, ovvero quello di attirare immediatamente l’attenzione delle soluzioni di sicurezza sul malware. “

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy