Il pericoloso gruppo di cybercriminali Carbanak è tornato e sta adottando nuove tattiche per i propri attacchi utilizzando Google come trampolino di lancio per un nuovo malware di Comando e Controllo.
I Forcepoint Security Labs hanno recentemente analizzato un documento RTF infettato da un trojan probabilmente collegato alla banda criminale Carbanak. Il documento contiene uno script Visual Basic (VBScript) tipico dei precedenti malware di Carbanak. Esempi recenti del malware includono oggi la possibilità di utilizzare i servizi di Google per le comunicazioni di Comando e Controllo (C & C). I Forcepoint Security Labs hanno immediatamente informato Google dell’abuso ed ora stanno lavorando insieme per condividere ogni informazione aggiuntiva.
Carbanak (anche conosciuto come Anunak) sono un gruppo di criminali motivati finanziariamente identificati la prima volta nel 2015. I criminali solitamente effettuano furti da istituzioni finanziarie utilizzando malware mirati. Recentemente è stata rilevata una nuova campagna di attacco Carbanak soprannominata “Digital Plagiarist” nella quale i malviventi hanno utilizzato come arma dei documenti office ospitati su domini mirrorati, con il fine di diffondere il malware.
Il malware VBScript all’interno del documento RTF è un file VBScript encoded. I Labs hanno decodificato lo script e trovato le caratteristiche tipiche del malware VBScript del gruppo Carbanak, tuttavia hanno anche evidenziato l’aggiunta di un nuovo modulo script “ggldr”.
Il modulo è codificato in base 64 all’interno del VBScript principale insieme ad altri moduli VBScript utilizzati dal malware. Quando lo script è stato analizzato si è notato che esso è in grado di utilizzare i servizi di Google come canale di C&C.
Lo script “ggldr” invierà e riceverà comandi da e per i servizi Google Apps Script, Google Sheets e Google Forms. Per ogni utente infetto viene creato dinamicamente un foglio univoco di Google Sheet con lo scopo di gestire ogni vittima. L’uso di un servizio di terze parti legittimo come questo dà all’attaccante la possibilità di nascondersi in piena vista. È improbabile che questi servizi di Google vengano bloccati by default all’interno delle aziende, di conseguenza è molto probabile che l’attaccante stabilisca con successo un canale di comunicazione C&C.
Gli attivisti di Carbanak continuano a cercare tecniche di furto per eludere i rilevamenti. L’utilizzo di Google come un canale indipendente di C&C è probabile che sia più efficace rispetto all’utilizzo di domini o domini appena creati che non hanno una reputazione accertata. Forcepoint continuerà a monitorare le attività di questo gruppo e condividere i dati con i Partner.
