I bassi tassi di rilevamento e l’installazione non di uno, ma di due Troiani, significano problemi.
 |
Una nuova variante di malware con un basso tasso di rilevamento in grado di fornire troiani multipli ai sistemi infetti è stata rivelata dai ricercatori.
Questa settimana, il team di sicurezza informatica di Fortinet ha detto che un recente esempio rivela che il nuovo malware è stato progettato per far scaricare sia RevengeRAT che WSHRAT su sistemi Windows vulnerabili.
Il file malevolo di esempio inizia il processo di infezione con codice JavaScript e informazioni codificate URL contenute in un editor di testo. Una volta decodificato, il team ha trovato VBScript offuscato con sostituzioni di caratteri.
Questo codice VBScript è quindi in grado di chiamare un oggetto Shell.Application che genera un nuovo file di script, A6p.vbs, che recupera un payload -- un VBScript aggiuntivo -- da una fonte esterna.
Le stringhe del nuovo codice, che sono anche offuscate nel probabile tentativo di evitare il rilevamento, estraggono un file di script chiamato Microsoft.vbs da un server remoto e lo salvano nella cartella temporanea di Windows.
“Una volta che il codice di cui sopra viene eseguito, crea un nuovo oggetto WScript.Shell e raccoglie l'ambiente OS e i dati “hardcoded”, che alla fine finirà per eseguire lo script appena creato (GXxdZDvzyH.vbs) chiamando l'interprete VBScript con il parametro "//B",” dicono i ricercatori.
“Questo abilita la modalità "batch-mode" e disabilita qualsiasi potenziale avviso o avviso che può verificarsi durante l'esecuzione”.
Una nuova chiave viene quindi aggiunta al registro di Windows, i comandi PowerShell vengono eseguiti per bypassare le politiche di esecuzione e viene distribuito il payload di Revenge RAT.
Revenge RAT è un Trojan precedentemente collegato a campagne rivolte agli istituti finanziari, ai governi e alle aziende IT.
Una volta distribuito dal nuovo file infetto da malware, Revenge RAT si connette a due server di comando e controllo (C2) e raccoglie i dati di sistema dalla vittima prima di trasferire queste informazioni ai C2.
Gli indirizzi IP, i dati sui volumi, i nomi delle macchine, i nomi degli utenti, se è stata rilevata o meno una webcam, i dati della CPU, la lingua e le informazioni relative ai prodotti antivirus e alle installazioni firewall vengono rubati.
Il Trojan è anche in grado di ricevere comandi da un C2 per caricare codice ASM dannoso in memoria per ulteriori exploit.
Tuttavia, lo spiegamento di un Trojan non è la fine della catena di attacco. Il file infetto dal malware esegue anche WSH RAT come payload, utilizzando lo stesso script Microsoft.vbs - con alcune modifiche.
WSH RAT è spesso distribuito attivamente nei messaggi di phishing che si mascherano come banche note. Il Trojan viene venduto pubblicamente online in abbonamento ad autori della minaccia.
La versione 1.6 di WSH RAT viene caricata e questo malware contiene più funzionalità rispetto alla sua controparte, compresi i metodi per mantenere la persistenza, il furto di dati e l'elaborazione delle informazioni.
Tra le 29 funzioni c'è la possibilità di controllare i diritti dell'utente corrente, e “a seconda di quali sono utilizzati, rimarrà così com'è o si eleverà (startupElevate()) ad un livello di accesso utente superiore”, dicono i ricercatori.
Il Trojan eseguirà anche un controllo di sicurezza per disabilitare l'attuale contesto di sicurezza.
WSH RAT si concentra sul furto di informazioni raccolte da browser popolari come Google Chrome e Mozilla Firefox. Tuttavia, il malware contiene anche altre funzioni, come l'esecuzione dei file, il riavvio del computer della vittima, la disinstallazione dei programmi e il keylogging.
Da notare anche la comparsa di Emotet con nuove funzionalità. Il malware modulare, che si è dimostrato popolare tra i criminali informatici, sembra ora utilizzare le tattiche stealth (nascoste) un tempo utilizzate da Trickbot.
