A Maggio,
È stata recentemente rilevata una campagna di distribuzione malware tramite e-mail volta a carpire informazioni sensibili dei sistemi target.
Descrizione e potenziali impatti
È stata recentemente rilevata una campagna di distribuzione malware tramite e-mail volta a carpire informazioni sensibili dei sistemi target.
Tale mail presenta un allegato in formato Disk Image (.IMG) – tipicamente utilizzato per memorizzare le immagini raw da volumi ottici o volumi magnetici in drive virtuali – contenente al proprio interno un file eseguibile malevolo con estensione .EXE o .BAT, attribuibile al trojan downloader GuLoader.
Qualora il volume virtuale ed avviato il relativo contenuto, il codice malevolo estrae le componenti del proprio eseguibile all’interno di sottocartelle opportunamente predisposte in \Appdata\Local. Successivamente lancia un comando PowerShell che inserisce il codice binario nel processo letto Windows Address Book – “wab.exe” – componente legittimo di Windows utilizzato per gestire i contatti anche nelle applicazioni lecite People, Windows Mail e Microsoft Office Outlook.
Nel dettaglio, il binario iniettato procede al download di un payload malevolo con estensione .BIN da una risorsa remota, riconducibile al malware Agent Tesla.
Tale payload utilizza tecniche di elusione dei meccanismi di sicurezza, quali l’offuscamento del codice e la verifica che l’ambiente di esecuzione non sia virtualizzato (ad esempio tramite QEMU).
In caso di esito positivo, il malware raccoglie informazioni relative al sistema target, ottiene la persistenza su di esso e procede all’esfiltrazione, mediante il protocollo SMTP (porta 587), delle informazioni ottenute
Mitra ATT&AK
Tattica ID Tecnica
Comando e controllo T1132.001 Codifica dei dati: codifica standard
Evasione della difesa T1564.003 Nascondi artefatti: finestra nascosta
Evasione della difesa T1027.009 File o informazioni offuscati: payload incorporati
Evasione della difesa T1055 Iniezione di processo
Scoperta T1012 Registro delle query
Scoperta T1082 Rilevamento delle informazioni di sistema
Scoperta T1057 Scoperta del processo
Scoperta T1012 Registro delle query
Esecuzione T1059.001 Interprete di comandi e script: PowerShell
Esecuzione T1059.003 Interprete di comandi e script: shell dei comandi di Windows
Azioni di mitigazione
Gli utenti e le organizzazioni dovrebbero prestare attenzione al comportamento evidenziato da questa tipologia di malware, monitorando eventuali modifiche del registro di sistema effettuate dai processi sospetti e dal relativo traffico di rete.
Inoltre, possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:
fornire sessioni periodiche di formazione finalizzate a riconoscere il phishing; diffidando da e-mail inattese e/o contenenti allegati con all’interno file archivio, drive virtuali e/o eseguibili (ad esempio file con estensioni “zip”, “rar”, “7z”, “img”, “iso”, “vbs”, “ps1”, “js”, “exe”, “bat”, ecc.)
verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità.
Infine, si raccomanda di valutare l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)
1 Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC nella blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.