Il malware è solo in memoria e l’antivirus non lo rileva

Giu 15, 2017 Marco Schiaffino Attacco non convenzionale, Malware, Minacce, News, RSS 1

---

Per il momento i pirati hanno preso di mira numerosi ristoranti negli Stati Uniti, ma la strategia di attacco potrebbe presto essere utilizzata contro altri obiettivi.

Nessun file copiato sul disco fisso e una tecnica di attacco che sfrutta PowerShell per aggirare i controlli dei software di sicurezza. Sono questi gli ingredienti che hanno fatto scattare l’allarme rosso dei ricercatori nei confronti di un gruppo di cyber-criminali chiamati FIN7.

A spiegare nel dettaglio le modalità di attacco usate dal gruppo, che i ricercatori considerano collegato ai pirati di Carbanak, è la società di sicurezza Morphisec, che ha analizzato i malware utilizzati da FIN7.

Il vettore di attacco è un documento Word, che viene inviato con un’email di phishing confezionata in maniera estremamente credibile. Stando a quanto riportano i ricercatori, che hanno sottoposto all’analisi su VirusTotal il file Word usato per l’attacco, per lo meno fino allo scorso 6 giugno il file veniva considerato innocuo da tutti e 56 gli antivirus utilizzati per la scansione.

Peccato che il file sia tutt’altro che inoffensivo. Al suo interno c’è infatti un oggetto OLE che avvia l’esecuzione di un codice JavaScript. L’unico indizio per la vittima è la richiesta di disattivare la visualizzazione protetta che Office imposta automaticamente per tutti i file che arrivano in allegato a un messaggio di posta elettronica.

Visto però che il documento in questione arriva come parte integrante di una proposta di lavoro, è molto probabile che il destinatario finisca per acconsentire alla richiesta e permetta così l’esecuzione del codice.

A questo punto parte l’attacco, che prevede la scrittura su disco di ulteriore codice JabaScript, ma nascosto all’interno di un file TXT. La sua esecuzione viene ritardata di un minuto attraverso la pianificazione di un Windows Task, in modo da non nascondere il collegamento tra le due operazioni e aggirare così i controlli comportamentali evitando che l’antivirus si “accorga” che sta succedendo qualcosa di strano.

Il resto dell’attacco viene portato attraverso codice residente esclusivamente in memoria, utilizzando le query DNS come strumento per generare script PowerShell che vengono offuscati in modo da nasconderne la natura.

Si tratta di strumenti (come Meterpreter) normalmente utilizzati nei test di sicurezza che permettono di controllare il computer senza installare alcun programma o lasciare tracce sul disco fisso.

Nel loro report, i ricercatori di Morphisec spiegano che il codice usato dai pirati utilizza tecniche di offuscamento estremamente efficaci, come quella di eliminare il prefisso MZ in alcune parti dello shellcode, in modo che la DLL caricata in memoria sfugga ai controlli degli antivirus.

Per verificare l’efficacia della tecnica usata dai pirati, gli analisti di Morphisec hanno provato a estrarre la DLL in questione prima che fosse modificata e l’hanno sottoposta a un controllo su VirusTotal. La maggior parte degli antivirus la identifica (correttamente) come un CobaltStrike Meterpreter. Una volta modificata, però, la DLL non fa scattare alcun “campanello di allarme” e può sostanzialmente agire indisturbata.

L’obiettivo del gruppo FIN7, esattamente come quello del gruppo Carbanak, è quello di mettere le mani su dati e informazioni che gli consentano di guadagnare denaro e gli strumenti che usano gli permettono di farlo con estrema efficacia.

Secondo i ricercatori che hanno studiato il malware, una volta infettato il computer hanno infatti la possibilità di sottrarre tutto ciò che gli serve e anche di eseguire “movimenti laterali” che gli consentono di raggiungere altre macchine all’interno della rete per ottenere ciò che vogliono.

---

---

---