Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan Grobios diffuso tramite exploit kit

exploit kit  Grobios  trojan   mercoledì, 16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività malevole legate all’utilizzo dell’exploit kit (EK) RIG. In particolare, RIG EK è stato utilizzato in-the-wild a partire almeno dallo scorso 10 marzo per diffondere un trojan battezzato Grobios.

Gli esperti hanno osservato l’intera catena di infezione (vedi immagine) che parte da un dominio Web compromesso (“latorre[.]com[.]au”) contenente un tag <iframe> (inline frame) malevolo che punta ad un dominio legato ad attività di malvertising, ossia diffusione di pubblicità online malevola tipicamente sfruttata per diffondere malware. Questo dominio a sua volta redirige verso la pagina di atterraggio di RIG EK. L’exploit kit scarica quindi sul computer della vittima un file in formato Shockwave Flash (SWF) malevolo. Una volta aperto, questo file infetta il PC con il trojan Grobios.

Catena di infezione di Grobios

La catena di infezione di Grobios (fonte: FireEye)

Grobios utilizza svariate tecniche per eludere il rilevamento e divenire persistente sulla macchina infetta, cosa che rende particolarmente difficile rimuoverlo o disattivarlo. Per evitare l’analisi statica gli autori di Grobios hanno impacchettato il codice eseguibile con il tool PECompact 2.xx. Questo trojan impiega inoltre tecniche per evitare di essere eseguito in una macchina virtuale o sotto il controllo di strumenti di analisi malware.

Per ottenere la persistenza sul computer della vittima, Grobios effettua le seguenti azioni:

  • copia sé stesso nella directory %AppData% mascherandosi come un’applicazione legittima installata sul computer della vittima e crea una chiave di registro AutoRun ed un collegamento nella cartella di Avvio di Windows per essere eseguito automaticamente all’avvio del sistema;
  • memorizza copie multiple di sé stesso in svariate sottodirectory delle cartelle dei Programmi %ProgramFiles% e %ProgramFiles(x86)% e crea una chiave di registro AutoRun corrispondente o un task automatico;
  • memorizza una copia di sé stesso nella directory dei file temporanei (%Temp%) protetta mediante EFS (Windows Encrypted File System) e crea un task automatico per lanciarla.

Il malware cambia le date di creazione, modifica e ultimo accesso dei file di tutte le sue copie con la data di ultimo accesso della libreria ntdll.dll. Per aggirare l’avviso di protezione di Windows per i file scaricati da Internet, il malware rimuove dai file il flag :Zone.Identifier utilizzando l’API DeleteFile.

Una volta radicatosi sulla macchina infetta, Grobios si connette a due server C&C i cui indirizzi si trovano offuscati all’interno del codice del malware. Il trojan è in grado di ricevere da remoto ed eseguire diversi comandi, che possono consentire ai cybercriminali di eseguire azioni malevole arbitrarie, ottenere informazioni potenzialmente sensibili o scaricare altro malware.

Al momento, la capacità di individuazione di Grobios da parte dei più diffusi antivirus risulta molto elevata.

Notizie correlate

Scoperta variante del ransomware Rakhni con capacità di miner

6 luglio 2018

I ricercatori di Kaspersky Lab hanno individuato una nuova variante del ransomware Rakhni che introduce una funzionalità per il mining di criptovalute.Leggi tutto

Campagna di Email malevole ai danni di utenti italiani

20 giugno 2018

Il CERT-PA ha rilevato una nuova campagna di Email di spam indirizzata ad utenze italiane e volta alla diffusione di malware.Leggi tutto

MysteryBot: nuovo trojan bancario per Android

15 giugno 2018

I ricercatori della società di sicurezza olandese ThreatFabric hanno scoperto MysteryBot, un nuovo trojan bancario per Android che presenta numerose similarità con il già noto LokiBot.Leggi tutto