skip to Main Content

Coronavirus, il cybercrime aggiorna e diffonde Zeus Sphinx

Coronavirus, Il Cybercrime Aggiorna E Diffonde Zeus Sphinx

di Pierguido Iezzi

L’emergenza coronavirus è diventata una manna per il cybercrime. Ritornano malware, che finora erano sopiti, come Zeus Sphinx, in versioni aggiornate

Non c’è più alcun dubbio, l’attuale situazione d’emergenza legata al coronavirus si sta trasformando in una vera e propria manna per il cybercrime. Tale è l’incremento dell’attività registrata nelle ultime settimane che ora cominciano a riaffiorare malware per lungo tempo sopiti. È questo il caso del trojan bancario Zeus Sphinx, riemerso dopo essere stato fuori scena per quasi tre anni. Secondo i ricercatori di cyber security, il codice malevolo (alias Zloader o Terdot) ha iniziato a riemergere a dicembre. Tuttavia, questi hanno osservato un significativo aumento di volume nel mese di marzo, in quanto i suoi operatori hanno cercato di trarre vantaggio dall’interesse e dalle notizie sul COVID-19 e possibili sgravi fiscali. Rilevato per la prima volta nell’agosto 2015, Sphinx è un malware modulare basato sul codice sorgente trapelato del famigerato trojan bancario Zeus. 

Il trojan bancario ruba le credenziali dei conti online e si diffonde attraverso campagne phishing legate al COVID-19

Come altri trojan bancari, la capacità principale di Sphinx è quella di raccogliere le credenziali dei conti online per i siti di online banking. Quando gli utenti infetti atterrano su un portale di online banking mirato, il malware recupera il codice dal suo server di comando e controllo per modificare la pagina che l’utente vede, in modo che le informazioni che l’utente inserisce nei campi di accesso siano inviate direttamente ai criminali informatici. Il trojan si sta unendo alla crescente ondata di campagne di phishing e malspam a tema coronavirus che si stanno diffondendo in tutto il mondo. In quelle di marzo, le email invitano i bersagli a compilare un modulo allegato per ricevere un fondo solidarietà dal governo.

Il malware si camuffa da documenti Office, chiedendo di abilitare le macro

Zeus Sphinx si camuffa da una varietà di programmi Office, la maggior parte dei quali sono file .doc o .docx. Questi documenti richiedono all’utente finale di abilitare l’esecuzione di una macro, innescando inconsapevolmente il primo passo della catena di infezione del malware. Una volta che l’utente finale accetta e abilita queste macro dannose, lo script inizierà la sua distribuzione, spesso utilizzando processi Windows legittimi e dirottati, che andranno a prendere un downloader. Successivamente, questo comunicherà con un server remoto di comando e controllo (C2) e recupererà il relativo malware, in questo caso la nuova variante di Sphinx diffusa dal cybercrime.

Come funziona la catena d’infezione

Una volta abilitate le macro Sphinx, il documento crea una cartella malevola sotto %SYSTEMDRIVE% e scrive un file batch. Il codice esegue quindi questo file batch e scrive un file VBS nella stessa cartella. Il malware utilizza quindi un processo WScript.exe legittimo per eseguire il file VBS, che crea un canale di comunicazione con il server C2. Fatto questo scarica un .exe dannoso sotto forma di file di libreria DLL. Questa DLL dannosa è l’eseguibile Sphinx di base, che è anche scritto nella cartella sotto %SYSTEMDRIVE%. Sphinx viene poi eseguito utilizzando il processo Regsvr32.exe. All’inizio, il malware crea un processo vuoto, msiexec.exe, e vi inietta il suo codice. Questo stesso passo è stato utilizzato dalle versioni precedenti del codice malevolo del cybercrime per l’infezione. Fatto ciò, crea la prima cartella sotto %APPDATA% e crea un file eseguibile al suo interno. Più tardi, cambierà l’estensione in .DLL. Come se non bastasse, la variante comunica con il suo server C2 utilizzando un pannello di controllo web-based per gli iniettori web chiamato “Tables”.

Il malware firma il codice utilizzando un certificato digitale che lo convalida, rendendo più facile rimanere sotto il radar dei comuni strumenti di cyber security come gli antivirus 

Il sistema di web-injection Tables è operativo dal 2014, adattato e utilizzato principalmente dai Trojan di tipo Zeus che si rivolgono a vittime in Nord America e in Europa. Questo pannello fornisce tutte le risorse necessarie affinché il malware infetti e raccolga informazioni rilevanti dalle macchine delle vittime infette. Una volta stabilita la connessione a esso, Sphinx recupererà ulteriori file JavaScript per i suoi iniettori web in modo che si adattino alla banca target che l’utente sta navigando. Gli iniettori sono tutti impostati sullo stesso dominio con script JS specifici per ogni banca/target. Per finire, il malware firma il codice utilizzando un certificato digitale che lo convalida, rendendo più facile rimanere sotto il radar dei comuni strumenti di cyber security come gli antivirus (AV) quando viene iniettato nei processi del browser.

Back To Top