Gli
utenti di lingua italiana sono gli obiettivi di una nuova campagna di
malware che si diffonde tramite
phishing. È stata individuata dai ricercatori dello ZLab di Yoroi, che hanno tracciato tutte le caratteristiche dell'attacco, utili per sapere da che cosa ci si deve difendere.
La catena di attacco inizia con un allegato di posta elettronica dannoso che contiene una
macro XML. Quando lo si apre, Excel informa della presenza di macro e chiede l'autorizzazione ad attivarle. Come sempre questa è
la mossa da non fare per evitare l'attivazione del payload.
La macro è minimale. Al contrario di altre campagne più sofisticate, non beneficia di tecniche anti-rilevamento. Tuttavia non bisogna sottovalutare la minaccia. Il frammento di macro VBS contatta un dominio da cui scarica diverse powershell e il payload.
La catena di attaccoLa catena di contagio è iniziata: il malware scarica il file "fiber.vbs" con un codice accuratamente offuscato che contiene molte subroutine di manipolazione delle stringhe. Al suo interno c'è un'altra powershell progettata per analizzare l'ambiente di esecuzione e attivare la fase successiva.
Quest'ultima prevede il download del file "image01.jpg". Il malware trasforma le informazioni contenute nel suddetto file in codice powershell pronto per l'esecuzione, decomprime due librerie collegate e le prepara per essere caricate in memoria. Una è il payload finale. Si tratta di NetWire, una delle armi più popolari fra i cyber criminali. È un
RAT in uso almeno dal 2012, spesso impiegato come strumento di spionaggio.
Proseguendo con la catena di attacco, quello che accade è che si attiva un meccanismo di persistenza agendo sulla directory "%APPDATA% Local Microsoft" e sul Registro di sistema. Dopo avere aggirato la scansione AntiMalware di Microsoft, il malware si nasconde per bypassare altri controlli di sicurezza.
A questo punto Netwire inizia la sua attività. Può inviare al server di Comando e Controllo le credenziali di Outlook e la cronologia dei browser Internet Explorer, Chrome e Firefox. I cyber criminali possono usare queste informazioni per perpetrare frodi o svolgere altre azioni malevole sulla rete.
Il modus operandi è analogo di quello di molte altre campagne. Il problema in questo caso è che la campagna è espressamente
progettata per colpire le vittime di lingua italiana, e in particolar modo il
comparto manifatturiero.