Aggiornamenti recenti Ottobre 31st, 2024 9:00 AM
Giu 15, 2017 Marco Schiaffino Attacco non convenzionale, Malware, Minacce, News, RSS 1
Nessun file copiato sul disco fisso e una tecnica di attacco che sfrutta PowerShell per aggirare i controlli dei software di sicurezza. Sono questi gli ingredienti che hanno fatto scattare l’allarme rosso dei ricercatori nei confronti di un gruppo di cyber-criminali chiamati FIN7.
A spiegare nel dettaglio le modalità di attacco usate dal gruppo, che i ricercatori considerano collegato ai pirati di Carbanak, è la società di sicurezza Morphisec, che ha analizzato i malware utilizzati da FIN7.
Il vettore di attacco è un documento Word, che viene inviato con un’email di phishing confezionata in maniera estremamente credibile. Stando a quanto riportano i ricercatori, che hanno sottoposto all’analisi su VirusTotal il file Word usato per l’attacco, per lo meno fino allo scorso 6 giugno il file veniva considerato innocuo da tutti e 56 gli antivirus utilizzati per la scansione.
Peccato che il file sia tutt’altro che inoffensivo. Al suo interno c’è infatti un oggetto OLE che avvia l’esecuzione di un codice JavaScript. L’unico indizio per la vittima è la richiesta di disattivare la visualizzazione protetta che Office imposta automaticamente per tutti i file che arrivano in allegato a un messaggio di posta elettronica.
Visto però che il documento in questione arriva come parte integrante di una proposta di lavoro, è molto probabile che il destinatario finisca per acconsentire alla richiesta e permetta così l’esecuzione del codice.
A questo punto parte l’attacco, che prevede la scrittura su disco di ulteriore codice JabaScript, ma nascosto all’interno di un file TXT. La sua esecuzione viene ritardata di un minuto attraverso la pianificazione di un Windows Task, in modo da non nascondere il collegamento tra le due operazioni e aggirare così i controlli comportamentali evitando che l’antivirus si “accorga” che sta succedendo qualcosa di strano.
Il resto dell’attacco viene portato attraverso codice residente esclusivamente in memoria, utilizzando le query DNS come strumento per generare script PowerShell che vengono offuscati in modo da nasconderne la natura.
Si tratta di strumenti (come Meterpreter) normalmente utilizzati nei test di sicurezza che permettono di controllare il computer senza installare alcun programma o lasciare tracce sul disco fisso.
Nel loro report, i ricercatori di Morphisec spiegano che il codice usato dai pirati utilizza tecniche di offuscamento estremamente efficaci, come quella di eliminare il prefisso MZ in alcune parti dello shellcode, in modo che la DLL caricata in memoria sfugga ai controlli degli antivirus.
Per verificare l’efficacia della tecnica usata dai pirati, gli analisti di Morphisec hanno provato a estrarre la DLL in questione prima che fosse modificata e l’hanno sottoposta a un controllo su VirusTotal. La maggior parte degli antivirus la identifica (correttamente) come un CobaltStrike Meterpreter. Una volta modificata, però, la DLL non fa scattare alcun “campanello di allarme” e può sostanzialmente agire indisturbata.
L’obiettivo del gruppo FIN7, esattamente come quello del gruppo Carbanak, è quello di mettere le mani su dati e informazioni che gli consentano di guadagnare denaro e gli strumenti che usano gli permettono di farlo con estrema efficacia.
Secondo i ricercatori che hanno studiato il malware, una volta infettato il computer hanno infatti la possibilità di sottrarre tutto ciò che gli serve e anche di eseguire “movimenti laterali” che gli consentono di raggiungere altre macchine all’interno della rete per ottenere ciò che vogliono.
Gen 18, 2019 0
Ott 31, 2024 0
Ott 30, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Ott 31, 2024 0
Ott 30, 2024 0
Ott 30, 2024 0
Ott 29, 2024 0
Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo giorno di...Ott 25, 2024 0
Se in passato il tracciamento digitale era considerata una...Ott 22, 2024 0
Una delle problematiche più discusse degli assistenti di...Ott 22, 2024 0
Le minacce informatiche crescono in numero e complessità e...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 31, 2024 0
Oltre 200 applicazioni dannose che contano più di 8...Ott 30, 2024 0
Una nuova versione di Qilin attacca mietendo vittime grazie...Ott 30, 2024 0
L’incubo di Spectre è tutt’altro che concluso:...Ott 29, 2024 0
Infostealer e quishing sono due tra le minacce informatiche...Ott 29, 2024 0
Il 25 ottobre si è concluso il quarto e ultimo...
One thought on “Il malware è solo in memoria e l’antivirus non lo rileva”