giovedì 22 aprile 2021
Il malware Flu bot evolve: il CERT individua in diffusione in Italia la nuova versione
Il primo alert del CERT riguardo lo sbarco di Flu Bot in Italia è di qualche giorno fa: ne abbiamo reso un breve riassunto qui, mentre l'analisi completa è consultabile qui dal sito ufficiale del CERT-AgID. Era stata individuata in diffusione contro gli utenti italiani la versione 3.9 di questo malware che ha, come funzionalità principale, il furto dati e credenziali.
In dettaglio il malware, pensato per i dispositivi mobile Android, visualizza una serie di pagine di phishing che imitano i login delle app che l'utente mano a mano utilizza. Una attenzione particolare è riservata ai servizi di home banking: quando l'utente apre l'app di banking della propria Banca, il malware mostra pagine di phishing che emulano la schermata di login dell'home banking dell'istituto, richiedendo una serie di dati. Tutti i dati che l'utente inserisce vengono direttamente inviati al server di comando e controllo (2C) gestito dagli attaccanti.
Due giorni fa però, il CERT ha individuato in diffusione una nuova versione, rivista e migliorata di Flu Bot, ovvero la versione 4.0.
Quali novità - nuovo SMS
Il primo cambiamento è il testo del messaggio SMS che caratterizza la campagna di diffusione di Flu bot 4.0 in Italia: il tema resta quello delle spedizioni, ma stavolta non si invita l'utente a seguire una spedizione. Il testo fa riferimento ad una fantomatica mancata consegna di un pacco: si invita quindi l'utente a cliccare sul link per pianificare una nuova spedizione.
Fonte: https://cert-agid.gov.it/
Se il sito viene raggiunto tramite browser su dispositivo Android, quel che vedrà l'utente è una pagina che emula quella del corriere DHL, con tanto di logo in bella vista. Nella pagina si chiede all'utente di scaricare un'applicazione per rintracciare il pacco
Fonte: https://cert-agid.gov.it/
Quali novità - qualche appunto tecnico
La versione 4.0 non mostra funzionalità aggiuntive: nei fatti quindi le finalità e le funzioni del malware non sono cambiate.
"Sul piano tecnico invece il malware ha parametrizzato varie funzionalità che prima erano implementate ad hoc per ogni paese target, consentendo agli autori di usare un unico file APK per più paesi (semplificando e velocizzando quindi la pianificazione delle campagne)" specificano gli esperti del CERT.
Tra le funzionalità aggiornate ci sono quella che genera automaticamente i domini e il blocco dei numero ai quali sono inviati gli SMS. Quest'ultima funzione è efficace comunque soltanto se si conosce il prefisso del paese della vittima.
Per quanto riguarda la generazione dei domini, Flu Bot già nella versione 3.9 non conteneva il suo C2 in chiaro o criptato: il C2 viene generato tramite algoritmi. Alla prima analisi comunque erano 5.000 i domini estratti con questa tecnica, ma soltanto due ad ora risultano registrati e in uso. Con la nuova versione è stato però rimosso il
supporto il DNS-over-HTTPS, quindi i domini sono generati soltanto tramite DNS classici.
La differenza sta nella sicurezza e nella privacy della comunicazione ed è, in teoria, un passo indietro per il malware. Se tradizionalmente le richieste ai server per cercare un sito web sono inviati in testo normale (plaintext), col protocollo DNS-over-HTTPS il nome dominio digitato viene inviato ad un server DNS compatibile tramite connessione HTTPS, criptata quindi non in testo normale. Così terzi non possono vedere a quale sito web si sta tentando di accedere.