Di recente, Yoroi ha individuato dmosk, una campagna di e-mail fraudolente contro utenze ed organizzazioni italiane, volta a simulare la condivisione di un documento tramite la piattaforma Google Drive reindirizzando invece l’utente verso destinazioni malevole. Ad oggi sono stati rilevati 6617 indirizzi e-mail che potrebbero essere compromessi dal momento in cui hanno cliccato sull’url malevola.
Le comunicazioni fraudolente contengono un link ad un sito di distribuzione malware collegato a servizi di Content Distribution di CloudFlare. Una volta cliccato, dal collegamento si scarica un “archivio personalizzato” contenente uno script “.jse” in grado di infettare l’host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all’attaccante, intercettare digitazioni e attività utente (ad esempio, attività su portali web).
La campagna di attacco risulta di particolare rilievo in quanto inganna l’utente proponendo un link verso servizi noti e nel contempo sfrutta la buona reputazione degli indirizzi di rete della CDN CloudFlare.
L’analisi effettuata ha potuto rilevare i contenuti dell’attacco e i dettagli sulle prime vittime colpite.
Gli analisti hanno scoperto che l’attaccante ha dimenticato il LOG.TXT scaricabile dall’URL di innesco della minaccia e da questo sono riusciti a risalire agli indirizzi IP che hanno cliccato sull’url che costituisce la prima fase dell’attacco. Dagli indirizzi IP è poi possibile risalire alle aziende che potrebbero essere state infettate, che Yoroi sta provvedendo ad informare direttamente e tramite la notifica della minaccia ai CERT nazionali.
Nella previsione che la minaccia possa aumentare esponenzialmente la sua entità nelle prossime ore, Yoroi ha compilato la seguente analisi privilegiando la rapidità piuttosto che soffermandosi sui dettagli.
La prima fase dell’infezione inizia da un semplice link a un drive (drive.carlsongracieanaheim.com). Un indirizzo e-mail è dato come parametro allo script del doc.php che registra l’indirizzo IP e l’indirizzo e-mail “chiamante” della vittima. Successivamente, lo script induce il browser a scaricare un file .zip che una volta aperto presenta alla vittima un file JSE denominato: scan.jse. Il file è stato meticolosamente offuscato. Infatti, è stato abbastanza impegnativo decodificare la fase successiva dell’infezione in quanto il JavaScript è stato offuscato utilizzando almeno 3 tecniche differenti.
Purtroppo la seconda fase non si esaurisce qui. Una volta individuato il file JSE, gli analisti di Yoroi hanno osservato che stava rilasciando ed eseguendo un altro file con il mimetype .SCR. Un particolare interessante è il ricorso a un unico URL di innesco della minaccia. quando solitamente gli aggressori utilizzano più URL che rimandano alla minaccia per avere più possibilità di infettare le vittime. L’URL rilevato è https://drive.carlsongracieanaheim.com/x/gate.php.
Il file JSE avvia la Terza Fase in \User\User\AppData\Local\Temp\38781520.scr con il seguente hash: 77ad9ce32628d213eacf56faebd9b7f53e6e33a1a313b11814265216ca2c4745 che è stato analizzato da 68 soluzioni antivirus di cui solo 9 sono state in grado di riconoscerlo come generico file dannoso.
Ma anche la terza fase non si esaurisce a questo punto: esegue un altro payload dannoso e dà il via alla Fase 4. In questo stadio il file dannoso non viene scaricato ed eseguito da un altro sito web ma da un particolare indirizzo che si trova nella memoria del sistema attaccato (fissato da .txt:0x400000).
A seguito dell’analisi è stato possibile capire che il payload finale è assai simile all’ursnif che cattura le informazioni sulle email e le credenziali delle vittime.
Come qualsiasi altro ursnif, il malware cerca di raggiungere una rete di Comando e Controllo situata sul clearnet o sulla rete TOR.
Un approccio interessante adottato dagli aggressori è il black listing. Gli studiosi hanno identificato almeno 3 liste nere, una delle quali basata sull’IP delle vittime, lasciando ipotizzare che l’aggressore possa filtrare le risposte in base al Paese al fine di favorire un attacco mirato al Paese da parte di Paesi che non lo hanno inserito nella lista nera. L’aggressore può utilizzare queste informazioni per rispondere o meno a una specifica richiesta di malware.
La seconda lista nera rilevata era basata sul sito web di rilascio URL che è stato addestrato a non rilasciare i file a indirizzi IP specifici. Gli alnalisti di Yoroi hanno rilevato tre principali ragioni per le quali è stato negato il payload:
- geo (fuori dall’area geografica di copertura). La minaccia è principalmente mirata a colpire in Italia.
- asn (fornitori di servizi Internet e/o fornitori di cloud computing). La minaccia è concentrata principalmente sui client e non sui server, quindi non avrebbe senso dare un payload ai provider cloud.
- MIT. L’attaccante non vuole che il payload che innesca la minaccia finisca nelle mani delle persone del MIT (carina questa 😉
Le black list sono un interessante approccio per ridurre le possibilità di analisi, infatti gli IP della black list appartengono a note aziende che si occupano di CyberSecurity che spesso utilizzano specifici provider cloud per eseguire emulazioni e/o sandbox.
“Si tratta di un attacco mirato inverso,” commenta Marco Ramilli, CEO di Yoroi, “in cui l’attacker vuole attaccare un intero gruppo di vittime escludendone alcune specifiche, per cui introduce una tecnica di consegna del paylod che ne blocca la diffusione in modo mirato.”
Una volta compreso il funzionamento dell’attacco, Yoroi ha indirizzato l’indagine su ciò che è stato voluto escludere. Ad esempio, analizzando il contenuto dell’URL di innesco, è stato abbastanza notevole scoprire che l’attaccante ha lasciato liberamente disponibile la sua chiave privata!
Decodificando il falso certificato l’analista ha rilevato le seguenti informazioni, nessuna delle quali si è rilevata utile.
- Nome comune: test.dmosk.local
- Organizzazione: Global Security
- Unità organizzativa: Reparto IT
- Località: SPb
- Stato: SPb
- Paese: RU
- Valido da: 5 Giugno 2018
- Valido per: 5 Giugno 2022
- Emittente: Global Security
- Numero di Serie: 12542837396936657430 (0xae111c285fe50a16
Forse la stringa più “originale”, nel senso di essere stata scritta dall’aggressore senza pensarci troppo su, sembrerebbe la stringa “dmosk” (nel certificato decodificato), da cui ha preso nome il malware.
Ad oggi Yoroi ha rilevato 6617 indirizzi e-mail che potrebbero essere compromessi da momento in cui hanno cliccato sull’url di innesco della minaccia indicato nell’analisi della Prima Fase. Yoroi ha inoltre rilevato che molte aziende sono state colpite da questo malware in grado di aggirare la maggior parte delle protezioni di sicurezza ricollegandosi a CloudFlare che non gode di una cattiva reputazione specifica. Inoltre Yoroi ha deciso di non divulgare i nomi delle aziende “probabilmente infette” e ha allertato i CERT nazionali (7 giugno 2018) insieme ai quali contatteranno le aziende “probabilmente infette” per aiutarle a mitigare la minaccia.
Yoroi invita tutti ad aggiornare le regole, le firme degli antivirus, e tutto ciò che è necessario per bloccare l’infezione.
