Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Il malware “AVE_MARIA” diffuso in campagna di phishing ai danni di un’azienda italiana

AVE_MARIA  phishing   lunedì, 14 gennaio 2019

I ricercatori di Cybaze-Yoroi ZLab hanno analizzato una campagna di phishing individuata alla fine dello scorso anno e mirata ad un’azienda italiana che opera nel settore energetico. Le Email malevole apparivano come provenienti da un fornitore e simulavano l’invio di fatture e conferme di spedizione di materiali.

Le Email contenevano allegati malevoli in formato Microsoft Excel, appositamente predisposti per scaricare ed eseguire un malware da un sito Web compromesso dagli attaccanti, sfruttando la vulnerabilità nota CVE-2017-11882, già corretta da Microsoft con un aggiornamento fuori banda il 28 novembre del 2017. I domini utilizzati in questa campagna sono rimasti attivi solo per pochi giorni attorno alla metà di dicembre 2018.

La catena di infezione ha inizio quando la vittima apre il documento Excel malevolo che a sua volta scarica sulla macchina bersaglio un archivio WinRAR auto-estraente configurato per decomprimere il suo contenuto nella cartella “%TEMP%\04505187” e lanciare una specifica routine di configurazione. Tutti i file scaricati hanno estensioni non correlate al loro contenuto allo scopo di sviare l’analisi e la maggior parte di questi contengono dati “spazzatura”, tranne i tre di seguito elencati:

  • xfi.exe: un interprete in grado di eseguire un programma scritto col linguaggio di scripting AutoIt.
  • hbx=lbl: un primo script AutoIt offuscato.
  • uaf.icm: file in formato INI contenente tutti i parametri di configurazione del malware, tra cui la cartella di installazione, il nome dell’interprete e altri parametri utilizzati negli stadi successivi dell’infezione.

L’esemplare analizzato è in grado di eseguire il primo script mediante il comando:

$> xfi.exe hbx=lbl

A partire da dati codificati all’interno del file di inizializzazione, il primo script crea un secondo script con un nome casuale (ad es., “ZZQLZ”) e lo esegue mediante l’interprete AutoIt.

Questo secondo script appare pesantemente offuscato e contiene diverse funzioni di evasione e anti-analisi. Ad esempio, lo script controlla se sul sistema è in esecuzione un processo relativo ad un software di virtualizzazione come VirtualBox e, in tal caso, interrompe la propria esecuzione.

Lo scopo principale del secondo script è quello di decifrare ed eseguire il payload finale del malware estraendo dati e chiave di decifratura dal file uaf.icm. Lo script consente al malware di divenire persistente sulla macchina della vittima scrivendo un valore nella chiave di registro HKLM\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run.

Per lanciare il payload, il malware crea una copia di Regsvcs.exe (lo strumento di installazione dei servizi .NET) nella directory dei file temporanei, la esegue e inietta il codice malevolo nel processo corrispondente.

Il malware, battezzato dai ricercatori AVE_MARIA da una stringa all’interno del codice, si comporta come un tipico bot per il furto di informazioni. Per prima cosa contatta un server C&C da cui riceve istruzioni sulla successiva azione da eseguire. Il server controllato dagli attaccanti non è più al momento attivo.

L’analisi statica del codice malevolo ha rilevato che AVE_MARIA è in grado di catturare le credenziali di posta elettronica della vittima da Microsoft Exchange Client o Outlook e decifrare tutte le password memorizzate dal browser Mozilla Firefox. Inoltre, il malware contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe.

Il post originale sul blog di Yoroi contiene un’analisi più dettagliata di AVE_MARIA, inclusi svariati indicatori di compromissione (IoC).

Notizie correlate

Scoperta nuova variante del trojan bancario per Android Svpeng

2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una variante del trojan bancario Svpeng che sfrutta i servizi per l'accessibilità Android per intercettare il testo inserito dall'utente.Leggi tutto

Nuova campagna malware colpisce istituti finanziari in Italia

17 giugno 2017

I ricercatori della società Yoroi hanno individuato una pericolosa campagna di diffusione di malware in corso ai danni di organizzazioni italiane in ambito finanziario.Leggi tutto

Nuova campagna di spam distribuisce il ransomware Jaff

12 maggio 2017

In questi giorni sono state rilevate pericolose campagne di Email fraudolente dirette a varie organizzazioni italiane con l’obiettivo di propagare il ransomware Jaff.Leggi tutto