skip to Main Content

Cybercrime: Triple encryption, la diffusione malware si evolve

Una campagna di phishing per distribuire il malware AZORULT si rivela più pericolosa di ciò che sem,brava, grazie alla triple ecnryption

La recente ondata di campagne spam che facevano da tramite per il malware AZORULT ha introdotto nel mondo del Cybercrime una nuova metodologia di offuscamento per evadere i gateway di sicurezza presenti nei client di posta e le normali protezioni fornite dagli antivirus. Ciò che rende particolare questa campagna di Phishing è l’utilizzo da parte dei Criminal Hacker di un meccanismo di tripla codifica per il downloader del malware all’interno di una serie di attacchi cibernetici per il resto non degni di nota nelle loro modalità o sofisticazione. AZORULT è stato scoperto per la prima volta nel 2016 come information stealer che ruba la cronologia della navigazione, i cookie, le password/credenziali, le informazioni sulla criptovaluta e altro ancora. Inoltre può servire da tramite per l’ingresso di ulteriori malware. Questa particolare tipologia è da tempo in vendita sul Dark Web in numerose varianti, tra cui una in grado di creare un nuovo account di amministratore nascosto sulla macchina bersaglio per impostare una chiave di registro e stabilire una connessione Remote Desktop Protocol (RDP).

Una campagna di phishing a due facce 

Se la triple encryption rappresenta una novità, i contenuti, come accennato riflettono gli standard delle classiche esche di phishing e non sono particolarmente degni di nota. L’utilizzo di questa nuova metodologia rappresenta sicuramente una grande sfida per gli attuali sistemi di rilevamento presenti nei più comuni antivirus e basati sulla tecnologia di rilevamento della firma del malware (ovvero specifiche linee di codice attribuibili a un’infezione) e l’analisi euristica (ovvero l’analisi che ricerca specifici comandi o istruzioni normalmente non presenti in un dato file o programma). Nel dettaglio la campagna del cybercrime targata AZORULT si presenta come un banale messaggio malspam con in allegato un file .Doc. La catena di infezione inizia con una tipica e-mail di phishing che chiede una “lista di prodotti per gli acquisti di gennaio”, per esempio. Al messaggio è allegato quello che sembra essere un documento Microsoft Office Word (DOC), ma il tipo di file è in realtà un Rich Text File (RTF). 

Abilitando le Macro si attivano il download e l’esecuzione del malware

Se la vittima riesce a farsi ingannare e clicca sul file etichettato “.DOC” nel messaggio di spam, si apre il file RTF. Subito dopo, quattro fogli di calcolo Excel identici – incorporati come oggetti OLE – si attivano automaticamente. Al lancio di ognuno di essi, l’utente finale viene bombardato di richieste di abilitazione di macro. Ciò in quanto la visualizzazione di pop-up apparentemente senza fine sarebbe probabilmente uno dei modi più efficaci per indurre gli utenti a consentire l’esecuzione delle macro, poiché potrebbero pensare che sia l’unico modo per impedire ulteriori richieste. In questo caso, gli aggressori stanno riproducendo le istanze di Excel abusando del meccanismo di “\ojupdate\” insito nei file RTF che permette agli “oggetti\” di aggiornarsi prima della visualizzazione. Se malauguratamente le macro vengono abilitate in uno qualsiasi dei documenti Excel, il payload del malware viene decifrato, decodificato ed eseguito utilizzando un comando “shell” di Visual Basic per Applicazioni. 

I tre livelli di crittografia della campagna di phishing

E’ interessante notare che il payload, il quale si supponeva dovesse decifrare, non era contenuto nella macro stessa; ma piuttosto in una delle celle del foglio di calcolo Excel. La fase successiva della decrittazione avviene quando il primo payload viene eseguito e si converte in un secondo livello di decrittazione, questa volta un PowerShell. È bene osservare che la crittografia di secondo livello, come la prima, non era complessa e serviva principalmente come meccanismo di offuscamento. Il payload del malware, questa volta, è notevolmente offuscato dal codice C#, progettato per scaricare un file da un server remoto e salvarlo come c2ef3.exe nella cartella AppData, ed infine eseguirlo. Il terzo e ultimo livello di cifratura si manifesta nel link utilizzato dal dropper per scaricare il malware info-stealer di AZORULT. Il link al file remoto è protetto con un terzo livello di crittografia utilizzando lo stesso algoritmo osservato nel PowerShell.

Le metodologie del cybercrime sono in continua evoluzione

È interessante osservare come il codice C# cerchi di aggirare l’interfaccia di scansione anti-malware di Microsoft, utilizzando una tecnica di patch di memoria identificata per la prima volta nel 2018 e utilizzata frequentemente da allora. Con l’uso di Word, Excel, PowerShell e di tre livelli di crittografia home-grownwn, questo downloader si è rivelato davvero molto più interessante di un normale allegato contenuto nelle email di Phishing. Anche se questa la campagna malspam è unica nel suo genere, non è chiaro quanto sia stato efficace il payload quando si tratta di passare inosservato. Possiamo quindi ipotizzare che la triple encryption potrebbe essere un po’ più efficace della maggior parte delle solite tecniche di offuscamento, dal momento che viene applicata dal cybercrime più volte su più livelli (cioè la prima istanza dell’algoritmo di decrittazione era in una macro VBA e la seconda e la terza in PowerShell/C#). Rappresenta una tecnica molto interessante per evadere il riconoscimento signature ed i classici sistemi di cyber security basati sull’euristica, ma di fronte alle ultime misure di sandboxing (l’ambiente isolato su una rete che imita gli ambienti operativi degli utenti finali e utilizzato per eseguire in modo sicuro il codice sospetto senza rischiare di danneggiare il dispositivo host o la rete) presenti in tutti i software anti malware possono fare ben poco.

Back To Top