skip to Main Content

Cybercrime: Usa ed Europa colpiti da Divergent, nuovo malware fileless

Cybercrime: Usa Ed Europa Colpiti Da Divergent, Nuovo Malware Fileless

Cisco Talos scopre un nuovo malware fileless: Divergent. Il CERT-PA: Usa il registro di sistema per eludere la scansione degli antivirus, una chiave nel registro per mantenere la persistenza e PowerShell per installarsi

Ecco Divergent, l’ultimo malware del cybercrime che utilizza NodeJS per colpire reti aziendali e condurre frodi di varia tipologia negli Usa e in Europa. Lo hanno scoperto i ricercatori di cyber security di Cisco Talos. La sua caratteristica principale è quella di diffondersi senza allegati/macro ed è simile al codice malevolo Kovter. Come quest’ultimo fa affidamento sul registro di sistema per la gestione temporanea e l’archiviazione dei dati di configurazione al fine di eludere la scansione degli antivirus. Utilizza inoltre una chiave nel registro per mantenere la persistenza e fa largo uso di PowerShell per installarsi sull’host infetto. Il malware si installa come un’applicazione HTA e crea diverse chiavi di registro contenenti diverse parti del payload e del malware PE. 

Come funziona il malware secondo gli esperti di cyber security

Come ricordano gli esperti di cyber security del CERT-PA, Divergent crea tre nuove chiavi di registro denominate in modo casuale, ognuna contenente una componente diversa del codice del payload necessaria per eseguire il malware PE. Ciò rendendolo di fatto non visibile alla scansione. Successivamente, il file HTA viene scritto nella cartella CSIDL_COMMON_APPDATA (in genere C:\ProgramData\) e impostato per essere eseguito ogni volta che l’utente accede aggiungendo una voce alla chiave di registro “HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”. L’HTA valuta con uno script di tipo JScript la chiave di registro “HKLM\Software\ZfjrAilGdh\Lvt4wLGLMZ” tramite un’istruzione “ActiveXObject.Wscript.Shell.RegRead” per poi eseguire uno script di tipo Powershell. Il malware è composto da due componenti principali: una per ricevere ed eseguire comandi da un server C2 e un’altra per eseguire script esterni. La configurazione per ciascuna parte è memorizzata nel registro di sistema in formato JSON.

Back To Top