Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan Grobios diffuso tramite exploit kit

exploit kit  Grobios  trojan   mercoledì, 16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività malevole legate all’utilizzo dell’exploit kit (EK) RIG. In particolare, RIG EK è stato utilizzato in-the-wild a partire almeno dallo scorso 10 marzo per diffondere un trojan battezzato Grobios.

Gli esperti hanno osservato l’intera catena di infezione (vedi immagine) che parte da un dominio Web compromesso (“latorre[.]com[.]au”) contenente un tag <iframe> (inline frame) malevolo che punta ad un dominio legato ad attività di malvertising, ossia diffusione di pubblicità online malevola tipicamente sfruttata per diffondere malware. Questo dominio a sua volta redirige verso la pagina di atterraggio di RIG EK. L’exploit kit scarica quindi sul computer della vittima un file in formato Shockwave Flash (SWF) malevolo. Una volta aperto, questo file infetta il PC con il trojan Grobios.

Catena di infezione di Grobios

La catena di infezione di Grobios (fonte: FireEye)

Grobios utilizza svariate tecniche per eludere il rilevamento e divenire persistente sulla macchina infetta, cosa che rende particolarmente difficile rimuoverlo o disattivarlo. Per evitare l’analisi statica gli autori di Grobios hanno impacchettato il codice eseguibile con il tool PECompact 2.xx. Questo trojan impiega inoltre tecniche per evitare di essere eseguito in una macchina virtuale o sotto il controllo di strumenti di analisi malware.

Per ottenere la persistenza sul computer della vittima, Grobios effettua le seguenti azioni:

  • copia sé stesso nella directory %AppData% mascherandosi come un’applicazione legittima installata sul computer della vittima e crea una chiave di registro AutoRun ed un collegamento nella cartella di Avvio di Windows per essere eseguito automaticamente all’avvio del sistema;
  • memorizza copie multiple di sé stesso in svariate sottodirectory delle cartelle dei Programmi %ProgramFiles% e %ProgramFiles(x86)% e crea una chiave di registro AutoRun corrispondente o un task automatico;
  • memorizza una copia di sé stesso nella directory dei file temporanei (%Temp%) protetta mediante EFS (Windows Encrypted File System) e crea un task automatico per lanciarla.

Il malware cambia le date di creazione, modifica e ultimo accesso dei file di tutte le sue copie con la data di ultimo accesso della libreria ntdll.dll. Per aggirare l’avviso di protezione di Windows per i file scaricati da Internet, il malware rimuove dai file il flag :Zone.Identifier utilizzando l’API DeleteFile.

Una volta radicatosi sulla macchina infetta, Grobios si connette a due server C&C i cui indirizzi si trovano offuscati all’interno del codice del malware. Il trojan è in grado di ricevere da remoto ed eseguire diversi comandi, che possono consentire ai cybercriminali di eseguire azioni malevole arbitrarie, ottenere informazioni potenzialmente sensibili o scaricare altro malware.

Al momento, la capacità di individuazione di Grobios da parte dei più diffusi antivirus risulta molto elevata.

Notizie correlate

“KevDroid”: nuovo trojan per Android ruba i dati e registra le chiamate

4 aprile 2018

I ricercatori di Cisco Talos hanno scoperto due nuove varianti di KevDroid, un trojan per Android inizialmente distribuito in-the-wild mascherato da falsa applicazione antivirus.Leggi tutto

Più di 40 modelli di dispositivi Android economici infetti dal trojan Triada

5 marzo 2018

I ricercatori di sicurezza di Dr. Web hanno scoperto la presenza del trojan Triada in più di 40 modelli di smartphone Android economici di produzione cinese.Leggi tutto

Variante di Dridex distribuita mediante siti FTP compromessi

19 gennaio 2018

Gli esperti di Forcepoint hanno osservato una nuova campagna di distribuzione di del noto trojan bancario Dridex che sfrutta server FTP compromessi.Leggi tutto