Libraesva ha rilevato una nuova forma di virus URSNIF, che nelle ultime settimane sta facendo strage di account email, inserendosi in thread di comunicazione attivi così come di quelli passati o archiviati. Si tratta di una campagna di malspam molto efficace per la consegna di virus trojan.
Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che quindi continua a propagarsi senza che né i mittenti né le vittime se ne accorgano.
Allerta sui Trojan Mutanti
URSNIF è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali; il malware stesso continua a cambiare nel tempo. Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware”, che renderebbe più difficile per il destinatario rilasciarle.
Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono così convinti che si tratti di una email legittima che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente. A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga.
Il messaggio contiene pochissime parole: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti” seguito dalla firma reale dell’account infetto e dal thread di posta elettronica esistente sotto. La frase è scritta in un italiano sbagliato ma questo non sembra comprometterne l’efficacia.
L’allegato, solitamente denominato Richiesta.doc è un documento word che finge di essere stato creato con una versione precedente di Microsoft Office e, come di consueto, invita l’utente ad abilitare le macro. Le macro sono offuscate, continuano a cambiare per non essere scoperte dai sistemi basati su firma e pattern e contengono un’azione di AutoOpen che esegue uno script powerhell che scarica e installa il payload.
Quando gli antivirus tradizionali e gli utenti partecipano alle infezioni
I motori antivirus stanno rilasciando ogni giorno centinaia di nuove regole di rilevamento per questi campioni in continua evoluzione, ma la latenza del processo garantisce la consegna di molti campioni che non sono ancora stati identificati dai motori antivirus. Questa campagna, così come altre campagne di malware come Emotet, ad esempio, ha un dropper in continua evoluzione che evidenzia tutti i limiti degli approcci di difesa basati su firme e modelli.
Un approccio efficace per mettere queste email in quarantena grazie ai controlli del contenuto e bloccare o disarmare gli allegati, è quello di affidarsi a servizi che rimuovuono il codice attivo quando sono presenti le operazioni tipiche che abilitano la funzionalità del dropper. Si tratta di un approccio che non presenta gli svantaggi degli approcci basati sulle firme e che si è dimostrato molto efficace nel bloccare varianti di malware sconosciute e in continua evoluzione.
Secondo Rodolfo Saccani, Security R&D Manager di Libraesva, il “semplice trucco del phishing può indurre lo stesso destinatario a compiere un lavoro non indifferente che finisce per aiutare gli autori del malware: rilasciare l’email dalla quarantena, aprirla, lanciare l’allegato, abilitare le macro e in alcuni casi anche segnalare l’email come un falso positivo”. Questo ci mostra quanto può essere potente l’inganno dei trojan mutanti URSNIF.
