Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il macro malware PowerSniff sfrutta PowerShell per infettare il PC

macro  PowerShell  PowerSniff   mercoledì, 16 marzo 2016

Alcuni ricercatori di sicurezza della società Palo Alto Networks hanno analizzato una nuova campagna di spam piuttosto aggressiva che diffonde documenti Microsoft Word malevoli contenenti macro che eseguono script PowerShell e iniettano il malware direttamente nella memoria del computer della vittima.

Questa tecnica di infezione non è nuova nel panorama del malware per Windows. Negli ultimi due anni sono state scoperte diverse famiglie di malware in grado di nascondersi nel Registro di Sistema, come Powessere, e che sfruttano Microsoft PowerShell per infettare direttamente la memoria del PC, come Ursnif. Tipicamente, questo tipo di macro malware veniva distribuito mediante exploit kit come Angler.

Il malware analizzato da Palo Alto, battezzato PowerSniff, viene invece distribuito in forma di allegati a messaggi di Email indirizzati a professionisti e dipendenti di società di svariati settori, in prevalenza alberghiero, manifatturiero, del commercio all’ingrosso e energetico. La maggior parte degli attacchi hanno finora riguardato il territorio degli Stati Uniti.

Se la vittima apre l’allegato con estensione .doc viene eseguita una macro malevola o, a seconda delle impostazioni di sicurezza di Microsoft Office, viene richiesto all’utente di attivare le macro prima di procedere.

La macro invoca il servizio WMI per lanciare un’istanza nascosta di “powershell.exe” con una serie di parametri mediante i quali, a seconda che il sistema ospite sia a 32 o 64 bit, viene scaricato un opportuno eseguibile da una locazione remota. Il file scaricato è uno script PowerShell contenente shellcode. Una volta lanciato, lo shellcode decifra sé stesso ed esegue il codice del malware.

A questo punto, PowerSniff inizia a raccogliere ulteriori informazioni sulla macchina su cui è in esecuzione. In particolare, verifica la presenza di nomi utente come “maltest” o “sandbox” e di specifiche librerie come “sbiedll.dll” o “dbghelp.dll”, allo scopo evidente di determinare se è in esecuzione in un ambiente virtualizzato o sandbox. Il malware effettua anche altri semplici controlli, come una chiamata a IsDebuggerPresent(), per evitare l’analisi da parte dei ricercatori antivirus.

Successivamente, il malware effettua una sorta di profilazione della macchina della vittima per determinare se si tratti o meno di un bersaglio potenzialmente di interesse per gli attaccanti. In particolare, viene esaminata la configurazione di rete per verificare l’assenza di stringhe come “school”, “hospital”, “health”, “teacher”, “student”, “pediatrics”, mentre viene ricercata attivamente la presenza di stringhe quali “POS”, “STORE”, “SHOP”, “SALE”. Da questo comportamento si evince che il malware tenta di evitare di infettare macchine in ambienti ospedalieri o scolastici e, allo stesso tempo, predilige computer associati a PoS o che vengono utilizzati abitualmente per effettuare transazioni finanziarie.

Nel caso in cui PowerSniff identifichi la macchina come “interessante”, invia una richiesta HTTP a uno dei server C&C codificati al suo interno. Se il server risponde, restituisce una DLL cifrata che viene memorizzata temporaneamente nella posizione “C:\Users\<nome utente>\AppData\LocalLow\[random].db”. Una volta memorizzata, la DLL viene decifrata ed eseguita utilizzando una chiamata a “rundll32.exe”. Stando a quanto riportato da Palo Alto, nessun server C&C risultava attivo al momento dell’analisi.

PowerSniff viene attualmente rilevato dalla maggior parte degli antivirus, ma le sue caratteristiche di invisibilità lo rendono comunque una minaccia da non sottovalutare. Come sempre, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta, di non aprire mai gli allegati e soprattutto di non abilitare mai l’esecuzione delle macro in documenti Word, anche all’apparenza innocui.

Notizie correlate

Vulnerabilità in Microsoft Office per Mac consente esecuzione di codice da remoto

5 novembre 2019

È stata scoperta una vulnerabilità in Microsoft Office per Mac 2011 che potrebbe consentire l'esecuzione di codice arbitrario da remoto mediante file SYLK.Leggi tutto

Variante di Dridex distribuita mediante siti FTP compromessi

19 gennaio 2018

Gli esperti di Forcepoint hanno osservato una nuova campagna di distribuzione di del noto trojan bancario Dridex che sfrutta server FTP compromessi.Leggi tutto

Vulnerabilità di Microsoft Office sfruttate per diffondere il malware Zyklon HTTP

18 gennaio 2018

I ricercatori di FireEye hanno osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email con allegati Microsoft Office malevoli.Leggi tutto