NEWS

Quick Heal Labs: un malware fireless colpisce usando una tecnica unica


MARTEDÌ 10 OTTOBRE 2017 - 10:28


Le campagne di spam sono considerevolmente aumentate grazie all’utilizzo di tecniche multiple e casuali che consentono di migliorare l’efficienza della distribuzione dei payload, in modo tale da diffondere il malware ad un maggior numero di utenti. Questi attacchi sono stati notati a causa della loro rapida crescita. Va ricordato come una tecnica analoga sia stata utilizzata anche nella diffusione del malware fireless Poweliks.

Analisi tecnica della campagna
In questa campagna, gli attaccanti usano uno script XML e dispongono di uno Windows Script Component (WSC) per diffondere il payload maligno - con questa tecnica è possibile modificare facilmente l’offuscazione. Un piccolo script XML, con una serie di istruzioni, viene poi utilizzato per scaricare un altro file di script da siti web compromessi. Gli attaccanti utilizzano questo file XML poiché è in grado di modificare con facilità il codice e fornire una nuova variante.

Sequenza catena di attacco


L’insieme delle istruzioni funziona nel modo seguente:


In questo caso, rundll32 viene utilizzato per eseguire il file DLL e collocare la sua libreria nella memoria con la seguente riga di comando.

Rundll32.exe «nome DLL», «punto di ingresso»

Passiamo ad analizzare il modo in cui Rundll32 è in grado di analizzare i parametri e l’argomento. Rundll32 analizza internamente la riga di comando e cerca la virgola (“,”) per individuare il nome e lo spazio DLL, alla ricerca del nome del punto di ingresso.

Nel precedente codice di script, Rundll32 trova mshtml come dllname e RunHTMLApplication come punto di ingresso. Al momento il prefisso”javascript:” sembra essere indesiderato. La RunHTMLApplication chiama 'CreateUrlMoniker' che analizza la riga di comando alla ricerca della string di “:” cioè JavaScript. “Microsoft HTML” è il gestore di JavaScript. 

Il file di script fornito dal file XML mostra la posizione effettiva del download dei file dannosi e le varie istruzioni per de-offuscare il malware. La posizione del payload varia di volta in volta ed una tecnica simile è già stata utilizzata dal malware TrickBot, con script macro nei documenti di Microsoft Office che quindi scarica il payload effettivo.


Come tenersi a distanza di sicurezza dalle minacce?
1) Non fare clic su collegamenti o aprire gli allegati contenuti in messaggi di posta elettronica inattesi o provenienti da fonti sconosciute.
2) Non fare clic su file che presentano una doppia estensione, come ad esempio doc.js, wsf.js, vbs.doc, ecc. Potrebbe infatti trattarsi di file dannosi che utilizzano la doppia estensione allo scopo di trarre in inganno gli utenti.
3) Eseguire tutti gli aggiornamenti consigliati per quanto riguarda il computer, il sistema operativo, il software ed i browser Internet allo scopo di mantenerli costantemente aggiornati.
4) Installare il software solo da fonti genuine ed affidabili.
5) Non abilitare la modalità “macro” o quella di modifica se un qualsiasi file chiede di farlo.

E quali strumenti adottare per difendersi …
  • Quick Heal Virus Protection rileva con successo i file dannosi ed i file doc.
  • Quick Heal Browsing Protection blocca gli URL maligni, contrassegnandoli come “Dannosi”.
  • Quick Heal Protection Email protegge efficacemente dagli attacchi, impedendo che riescano ad infettare il sistema.
  • Le ultime news

    Chi siamo

    Risorse

    Supporto

    Area informativa

     





    Distributore ufficiale per l'Italia
    S-MART è un marchio di proprietà netWork Sas
    P.IVA: 05345670482




    © 2017     |     Privacy Policy     |     Cookie Policy     |     Login