Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il trojan Grobios diffuso tramite exploit kit

exploit kit  Grobios  trojan   mercoledì, 16 maggio 2018

Ricercatori di sicurezza della società FireEye hanno recentemente rilevato un incremento di attività malevole legate all’utilizzo dell’exploit kit (EK) RIG. In particolare, RIG EK è stato utilizzato in-the-wild a partire almeno dallo scorso 10 marzo per diffondere un trojan battezzato Grobios.

Gli esperti hanno osservato l’intera catena di infezione (vedi immagine) che parte da un dominio Web compromesso (“latorre[.]com[.]au”) contenente un tag <iframe> (inline frame) malevolo che punta ad un dominio legato ad attività di malvertising, ossia diffusione di pubblicità online malevola tipicamente sfruttata per diffondere malware. Questo dominio a sua volta redirige verso la pagina di atterraggio di RIG EK. L’exploit kit scarica quindi sul computer della vittima un file in formato Shockwave Flash (SWF) malevolo. Una volta aperto, questo file infetta il PC con il trojan Grobios.

Catena di infezione di Grobios

La catena di infezione di Grobios (fonte: FireEye)

Grobios utilizza svariate tecniche per eludere il rilevamento e divenire persistente sulla macchina infetta, cosa che rende particolarmente difficile rimuoverlo o disattivarlo. Per evitare l’analisi statica gli autori di Grobios hanno impacchettato il codice eseguibile con il tool PECompact 2.xx. Questo trojan impiega inoltre tecniche per evitare di essere eseguito in una macchina virtuale o sotto il controllo di strumenti di analisi malware.

Per ottenere la persistenza sul computer della vittima, Grobios effettua le seguenti azioni:

  • copia sé stesso nella directory %AppData% mascherandosi come un’applicazione legittima installata sul computer della vittima e crea una chiave di registro AutoRun ed un collegamento nella cartella di Avvio di Windows per essere eseguito automaticamente all’avvio del sistema;
  • memorizza copie multiple di sé stesso in svariate sottodirectory delle cartelle dei Programmi %ProgramFiles% e %ProgramFiles(x86)% e crea una chiave di registro AutoRun corrispondente o un task automatico;
  • memorizza una copia di sé stesso nella directory dei file temporanei (%Temp%) protetta mediante EFS (Windows Encrypted File System) e crea un task automatico per lanciarla.

Il malware cambia le date di creazione, modifica e ultimo accesso dei file di tutte le sue copie con la data di ultimo accesso della libreria ntdll.dll. Per aggirare l’avviso di protezione di Windows per i file scaricati da Internet, il malware rimuove dai file il flag :Zone.Identifier utilizzando l’API DeleteFile.

Una volta radicatosi sulla macchina infetta, Grobios si connette a due server C&C i cui indirizzi si trovano offuscati all’interno del codice del malware. Il trojan è in grado di ricevere da remoto ed eseguire diversi comandi, che possono consentire ai cybercriminali di eseguire azioni malevole arbitrarie, ottenere informazioni potenzialmente sensibili o scaricare altro malware.

Al momento, la capacità di individuazione di Grobios da parte dei più diffusi antivirus risulta molto elevata.

Notizie correlate

Nuova massiccia campagna di distribuzione del trojan bancario Emotet

13 novembre 2018

I ricercatori di sicurezza di ESET hanno analizzato una nuova campagna di diffusione su larga scala del trojan bancario Emotet tramite Email fraudolente, iniziata il 5 novembre 2018.Leggi tutto

Ondata di attacchi del malware Xbash a sistemi Linux e Windows

18 settembre 2018

I ricercatori di Palo Alto Networks hanno rilevato una nuova pericolosa ondata di attacchi originati dal malware Xbash, in grado di creare gravi disservizi ai sistemi bersaglio.Leggi tutto

Il nuovo exploit kit Fallout distribuisce il ransomware GandCrab

7 settembre 2018

Sono state recentemente individuate campagne che sfruttano l'exploit kit Fallout per distribuire il ransomware GandCrab, altri trojan, falsi antivirus e versioni malevole di Flash Player. Leggi tutto