Aggiornamenti recenti Aprile 23rd, 2024 2:00 PM
Ago 23, 2016 Marco Schiaffino Minacce, Trojan 0
Hancitor è una vecchia conoscenza del settore che ha procurato parecchi grattacapi agli analisti in passato. Il trojan, che usa tecniche di offuscamento particolarmente insidiose, è progettato per insinuarsi nel sistema colpito e avviare il download di altri malware.
Ora la strategia di attacco utilizzata per diffondere il malware ha fatto un passo avanti, utilizzando un sistema che consente ai pirati informatici di rendere più difficoltosa la sua individuazione da parte dei programmi antivirus.
Hancitor viene distribuito normalmente sotto forma di un file binario mascherato attraverso un packer, che una volta avviato crea un file chiamato winlogin.exe e modifica il registro di sistema per fare in modo di avviarsi a ogni accensione della macchina.
Le comunicazioni con l’esterno avvengono attraverso il circuito Tor, che consente al trojan di scambiare dati con il server Command and Control mantenendo un basso profilo.
Attraverso il collegamento Tor, i cyber-criminali possono controllare a loro piacimento l’attività del trojan avviando per esempio il download di un nuovo file dal server, l’esecuzione in remoto del codice scaricato o l’eliminazione di Hancitor per cancellarne ogni traccia dal PC infetto.
Nella nuova versione, le funzionalità sono rimaste invariate, ma Hancitor sfrutta ora un sistema di distribuzione basato sull’uso delle Macro che gli consente di aggirare molti dei normali controlli.
Come spiegato dagli analisti di Palo Alto Networks, il malware viene infatti ora distribuito attraverso file di Word allegati a un’email, che utilizzano classiche tecniche di ingegneria sociale simulando per esempio l’invio di fatture indirizzate alla potenziale vittima.
All’apertura del file di Word viene richiesta l’autorizzazione all’esecuzione delle Macro attraverso un messaggio che mira a ingannare l’utente facendogli credere che l’operazione sia necessaria a causa del fatto che il documento è stato creato con una vecchia versione di Word.
Il codice Visual Basic avvia la Macro che, come primo passo, analizza il sistema per capire se si tratti di un ambiente a 32 o 64 bit e vi si adatta.
La particolarità di questa versione, però, sta nel fatto che l’attacco tramite Macro agisce in maniera diversa dal solito. Nella maggior parte dei casi, infatti, la Macro avvia un file eseguibile contenuto al suo interno, o che viene scaricato da Internet al momento.
In questo caso, invece, i pirati utilizzano uno shellcode codificato in base 64 e integrato nel codice del documento, che viene decodificato automaticamente. Per farlo, gli autori del malware hanno dovuto realizzare un loro sistema in grado di decodificare il codice in base 64.
Solo a questo punto lo shellcode carica il codice del malware (protetto da crittografia) all’interno di %SYSTEMROOT%/system32/WinHost.exe.
Secondo gli analisti di Palo Alto Networks la tecnica, decisamente più complessa rispetto a quelle utilizzate normalmente per distribuire malware, consentirebbe di rendere molto più difficile la rilevazione del trojan e, in futuro, potrebbe essere adottata anche da altri malware.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Gen 29, 2024 0
Gen 22, 2024 0
Dic 19, 2023 0
Dic 15, 2023 0
Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Apr 12, 2024 0
Al Google Next ’24 abbiamo assistito a un interessante...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...Apr 22, 2024 0
Nel periodo compreso tra il 13 e il 19 aprile,...Apr 22, 2024 0
I cyber attacchi moderni riescono a colpire anche le...Apr 22, 2024 0
Il JPCERT Coordination Center, l’organizzazione...