skip to Main Content

Cybercrime, c’è un nuovo malware in circolazione: ProClient

Cybercrime, C’è Un Nuovo Malware In Circolazione: ProClient

Arriva ProClient, un nuovo malware del cybercrime. Il CERT-PA: E’ un RAT, scritto in .NET, che si installa attraverso quattro packer e il suo compito è spiare la vittima e rubare le credenziali

C’è un nuovo malware in circolazione, si chiama ProClient ed è specializzato nello spionaggio nonché nel furto di credenziali. Lo hanno scoperto i ricercatori di cyber security del CERT-PA. Si tratta di un RAT, scritto in .NET. La sua struttura è piuttosto semplice. Nel campione analizzato dagli esperti, il payload finale – una DLL contenente ProClient – è protetto da una serie di packer (tra cui CyaX), l’ultimo dei quali ha anche il compito di eseguire il metodo entry-point passandogli la configurazione (attraverso quattro packer). Il codice malevolo del cybercrime utilizza un algoritmo di cifratura non standard per recuperare le varie impostazioni ed effettua controlli sulla macchina su cui è eseguito in modo da prevenire azioni “ostili” prima di avviarsi. Poi effettua un keylogging e comunica con i due server di C2 a cui invia le informazioni sottratte dalla macchina infetta e da cui attende istruzioni arbitrarie.

Come funziona la catena di infezione secondo gli esperti di cyber security

L’email analizzata dagli esperti di cyber security contiene in allegato un archivio GZIP di nome 2020_02_Cresta_RFQ,xls.gz, al cui interno è presente l’eseguibile 2020_02_Cresta_RFQ,xls.exe. Questo è scritto in .NET e tra le sue risorse si trovano un payload PE non cifrato e un’immagine sospetta. Il secondo stadio è a sua volta un assembly .NET (una DLL), il cui compito è estrarre un altro payload .NET dall’immagine sospetta. Il risultato è l’assembly .NET del terzo stadio (CyaX), che permette di continuare l’analisi senza preoccuparsi di eventuali dipendenze. Può essere configurato per effettuare una serie di operazioni: controlli anti VM e SB, scaricare file aggiunti, lanciare il payload direttamente o tramite process hollowing. L’ultimo packer dell’eseguibile contiene il vero e proprio malware: il rat ProClient.

Back To Top