Ora il trojan Hancitor usa delle nuove tecniche di attacco

Ago 23, 2016 Marco Schiaffino Minacce, Trojan 0

Il malware “nasconde” il codice del payload al suo interno per rendere più duro il lavoro degli antivirus. Secondo gli analisti è la prima volta che viene utilizzata questa strategia.

Hancitor è una vecchia conoscenza del settore che ha procurato parecchi grattacapi agli analisti in passato. Il trojan, che usa tecniche di offuscamento particolarmente insidiose, è progettato per insinuarsi nel sistema colpito e avviare il download di altri malware.

Ora la strategia di attacco utilizzata per diffondere il malware ha fatto un passo avanti, utilizzando un sistema che consente ai pirati informatici di rendere più difficoltosa la sua individuazione da parte dei programmi antivirus.

Hancitor viene distribuito normalmente sotto forma di un file binario mascherato attraverso un packer, che una volta avviato crea un file chiamato winlogin.exe e modifica il registro di sistema per fare in modo di avviarsi a ogni accensione della macchina.

Le comunicazioni con l’esterno avvengono attraverso il circuito Tor, che consente al trojan di scambiare dati con il server Command and Control mantenendo un basso profilo.

Attraverso il collegamento Tor, i cyber-criminali possono controllare a loro piacimento l’attività del trojan avviando per esempio il download di un nuovo file dal server, l’esecuzione in remoto del codice scaricato o l’eliminazione di Hancitor per cancellarne ogni traccia dal PC infetto.

Nella nuova versione, le funzionalità sono rimaste invariate, ma Hancitor sfrutta ora un sistema di distribuzione basato sull’uso delle Macro che gli consente di aggirare molti dei normali controlli.

Come spiegato dagli analisti di Palo Alto Networks, il malware viene infatti ora distribuito attraverso file di Word allegati a un’email, che utilizzano classiche tecniche di ingegneria sociale simulando per esempio l’invio di fatture indirizzate alla potenziale vittima.

All’apertura del file di Word viene richiesta l’autorizzazione all’esecuzione delle Macro attraverso un messaggio che mira a ingannare l’utente facendogli credere che l’operazione sia necessaria a causa del fatto che il documento è stato creato con una vecchia versione di Word.

Per quanto la tecnica sia raffinata, richiede comunque la solita autorizzazione all’uso delle Macro.

Il codice Visual Basic avvia la Macro che, come primo passo, analizza il sistema per capire se si tratti di un ambiente a 32 o 64 bit e vi si adatta.

La particolarità di questa versione, però, sta nel fatto che l’attacco tramite Macro agisce in maniera diversa dal solito. Nella maggior parte dei casi, infatti, la Macro avvia un file eseguibile contenuto al suo interno, o che viene scaricato da Internet al momento.

In questo caso, invece, i pirati utilizzano uno shellcode codificato in base 64 e integrato nel codice del documento, che viene decodificato automaticamente. Per farlo, gli autori del malware hanno dovuto realizzare un loro sistema in grado di decodificare il codice in base 64.

Solo a questo punto lo shellcode carica il codice del malware (protetto da crittografia) all’interno di %SYSTEMROOT%/system32/WinHost.exe.

Secondo gli analisti di Palo Alto Networks la tecnica, decisamente più complessa rispetto a quelle utilizzate normalmente per distribuire malware, consentirebbe di rendere molto più difficile la rilevazione del trojan e, in futuro, potrebbe essere adottata anche da altri malware.

Condividi l'articolo