Aggiornamenti recenti Luglio 26th, 2024 2:16 PM
Giu 15, 2017 Marco Schiaffino Attacco non convenzionale, Malware, Minacce, News, RSS 1
Nessun file copiato sul disco fisso e una tecnica di attacco che sfrutta PowerShell per aggirare i controlli dei software di sicurezza. Sono questi gli ingredienti che hanno fatto scattare l’allarme rosso dei ricercatori nei confronti di un gruppo di cyber-criminali chiamati FIN7.
A spiegare nel dettaglio le modalità di attacco usate dal gruppo, che i ricercatori considerano collegato ai pirati di Carbanak, è la società di sicurezza Morphisec, che ha analizzato i malware utilizzati da FIN7.
Il vettore di attacco è un documento Word, che viene inviato con un’email di phishing confezionata in maniera estremamente credibile. Stando a quanto riportano i ricercatori, che hanno sottoposto all’analisi su VirusTotal il file Word usato per l’attacco, per lo meno fino allo scorso 6 giugno il file veniva considerato innocuo da tutti e 56 gli antivirus utilizzati per la scansione.
Peccato che il file sia tutt’altro che inoffensivo. Al suo interno c’è infatti un oggetto OLE che avvia l’esecuzione di un codice JavaScript. L’unico indizio per la vittima è la richiesta di disattivare la visualizzazione protetta che Office imposta automaticamente per tutti i file che arrivano in allegato a un messaggio di posta elettronica.
Visto però che il documento in questione arriva come parte integrante di una proposta di lavoro, è molto probabile che il destinatario finisca per acconsentire alla richiesta e permetta così l’esecuzione del codice.
Potenza dell’ingegneria sociale: come può un ristoratore rinunciare a leggere un documento allegato a un messaggio che propone l’acquisto di un servizio di catering per il mattino dopo?
A questo punto parte l’attacco, che prevede la scrittura su disco di ulteriore codice JabaScript, ma nascosto all’interno di un file TXT. La sua esecuzione viene ritardata di un minuto attraverso la pianificazione di un Windows Task, in modo da non nascondere il collegamento tra le due operazioni e aggirare così i controlli comportamentali evitando che l’antivirus si “accorga” che sta succedendo qualcosa di strano.
Il resto dell’attacco viene portato attraverso codice residente esclusivamente in memoria, utilizzando le query DNS come strumento per generare script PowerShell che vengono offuscati in modo da nasconderne la natura.
Si tratta di strumenti (come Meterpreter) normalmente utilizzati nei test di sicurezza che permettono di controllare il computer senza installare alcun programma o lasciare tracce sul disco fisso.
Nel loro report, i ricercatori di Morphisec spiegano che il codice usato dai pirati utilizza tecniche di offuscamento estremamente efficaci, come quella di eliminare il prefisso MZ in alcune parti dello shellcode, in modo che la DLL caricata in memoria sfugga ai controlli degli antivirus.
Per verificare l’efficacia della tecnica usata dai pirati, gli analisti di Morphisec hanno provato a estrarre la DLL in questione prima che fosse modificata e l’hanno sottoposta a un controllo su VirusTotal. La maggior parte degli antivirus la identifica (correttamente) come un CobaltStrike Meterpreter. Una volta modificata, però, la DLL non fa scattare alcun “campanello di allarme” e può sostanzialmente agire indisturbata.
L’obiettivo del gruppo FIN7, esattamente come quello del gruppo Carbanak, è quello di mettere le mani su dati e informazioni che gli consentano di guadagnare denaro e gli strumenti che usano gli permettono di farlo con estrema efficacia.
Secondo i ricercatori che hanno studiato il malware, una volta infettato il computer hanno infatti la possibilità di sottrarre tutto ciò che gli serve e anche di eseguire “movimenti laterali” che gli consentono di raggiungere altre macchine all’interno della rete per ottenere ciò che vogliono.
Gen 18, 2019 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Lug 26, 2024 0
Lug 25, 2024 0
Lug 25, 2024 0
Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa per...Lug 24, 2024 0
Con l’obiettivo di assicurare un adeguato livello di...Lug 23, 2024 0
Le password sono ormai universalmente riconosciute come un...Lug 23, 2024 0
Sembra un numero fin troppo elevato, ma è tutto vero:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Lug 26, 2024 0
Parigi è al centro dell’attenzione mondiale per le...Lug 26, 2024 0
Tanti videogiocatori si affidano ai cheat per avere più...Lug 25, 2024 0
I ricercatori di ESET hanno scoperto EvilVideo, una...Lug 25, 2024 0
Daggerfly, gruppo di cybercriminali cinesi conosciuto anche...Lug 24, 2024 0
Il 19 luglio 2024 è una data che rimarrà impressa...
One thought on “Il malware è solo in memoria e l’antivirus non lo rileva”