Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Vulnerabilità di Microsoft Office sfruttate per diffondere il malware Zyklon HTTP

backdoor  microsoft office  PowerShell  trojan  Zyklon   giovedì, 18 gennaio 2018

I ricercatori di sicurezza di FireEye hanno recentemente osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email fraudolente.

Il malware Zyklon HTTP, osservato per la prima volta in-the-wild all’inizio del 2016, è un trojan multifunzione con capacità di backdoor, disponibile a pagamento sul Dark Web.

Le Email coinvolte in questa nuova campagna sono mirate principalmente ad aziende nei settori delle telecomunicazioni, delle assicurazioni e dei servizi finanziari. Ai messaggi è allegato un archivio compresso in formato ZIP che a sua volta contiene un documento di Microsoft Office malevolo con estensione “.doc”.

Il file di Office contiene exploit per tre vulnerabilità note di Microsoft Office, tutte piuttosto recenti:

  • CVE-2017-8759: vulnerabilità di tipo esecuzione di codice da remoto in .NET Framework scoperta a settembre del 2017 e sfruttata in-the-wild per diffondere il malware FINSPY. Corretta da Microsoft con gli aggiornamenti del 12 settembre 2017.
  • CVE-2017-11882: vulnerabilità in Microsoft Office che può consentire ad un attaccante di eseguire codice arbitrario da remoto nel contesto dell’utente corrente. Corretta da Microsoft con un aggiornamento fuori banda il 28 novembre del 2017.
  • Dynamic Data Exchange (DDE): un metodo per trasferire dati tra applicazioni che può essere sfruttato in maniera malevola per diffondere malware. Oggetto di un avviso di sicurezza di Microsoft dell’8 novembre 2017.

Se una di queste falle viene sfruttata con successo, il controllo passa ad uno script PowerShell che si occupa di scaricare il payload vero e proprio del malware dal server C&C e di mandarlo in esecuzione.

Schema infezione Zyklon

Lo schema di infezione di Zyklon HTTP (fonte: FireEye)

Zyklon HTTP è dotato di funzionalità di keylogger, di raccolta di password e per la conduzione di attacchi DDoS. Il malware è in grado di comunicare con i server C&C attraverso la rete TOR e può scaricare diversi plugin che implementano svariate funzionalità aggiuntive, tra le quali estrazione di criptovalute (mining) e furto di password da numerosi browser (Chrome, Firefox, Explorer, Opera, Safari e altri), client di Email (Outlook, Thunderbird e altri) e applicativi FTP, recupero di chiavi di attivazione e di licenza di numerosi software tra i quali Office, SQL Server, Adobe, Nero e molti videogiochi.

Il post originale di FireEye contiene un’analisi più dettagliata di questa campagna di diffusione del malware Zyklon HTTP, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di minacce, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta e di non aprire mai gli allegati. Si raccomanda inoltre di installare e mantenere aggiornate soluzioni antivirus sui propri computer.

Notizie correlate

Scoperte 17 app su Apple App Store infette da malware

28 ottobre 2019

Gli esperti di sicurezza della società Wandera hanno scoperto sull'App Store di Apple 17 app per iOS che risultano infette da un clicker trojan.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (agosto 2019)

27 agosto 2019

Nella giornata del 13 agosto 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto

Aggiornamenti di sicurezza per prodotti Microsoft (maggio 2019)

15 maggio 2019

Nella giornata del 14 maggio 2019 Microsoft ha emesso diversi aggiornamenti di sicurezza che risolvono vulnerabilità multiple in svariati prodotti.Leggi tutto