NEWS

AZORult, il malware che ruba tutte le informazioni sul pc delle vittime


VENERDÌ 19 OTTOBRE 2018 - 10:20


Se l'attenzione del cyberspazio è concentrata principalmente su Ransomware e Cryptominer, ci sono altri agenti di rischio che si stanno affermando silenziosamente. Durante l'attività quotidiana di ricerca delle minacce, i Quick Heal Security Labs hanno trovato un URL bloccato dalla funzione in cloud di categorizzazione degli URL di Quick Heal. Ulteriori analisi dell'URL ci hanno portati a individuare una nuova variante del malware AZORult: stiamo parlando di un malware che raccoglie e filtra i dati della macchina bersaglio e li invia verso un server C&C. In questo post analizziamo il malware, tratteggiandone le caratteristiche principali. 

Sotto è illustrata la catena di attacco ed esecuzione osservata per questo malware. 


Al momento dell'analisi, il vettore iniziale di attacco resta sconosciuto, ma la catena di attacco è stata tracciata dall'URL dannoso. Sospettiamo che il vettore iniziale di attacco sia una email di Phishing. 

URL:  cw57146.tmweb.ru/upload/neut[.]exe

Durante l'analisi statica, abbiamo notato che il file "neut.exe" è un eseguibile PE32 per Microsoft Windows, compilato come file P-code per Microsoft Visual Basic. Ha svariate stringhe criptate e contiene grandi risorse di dati ad alta entropia. 


La foto sopra mostra la quantità enorme di dati in  CFF explorer

Il file decompilato ha una funzione per disabilitare DEP per il processo in corso. Tenta di modificare le impostazioni di Explorer per impedire che alcuni file nascosti vengano visualizzati, ma anche per caricare una grandissima quantità di risorse in memoria. 

Mentre studiavamo altre funzioni nel file decompilato, abbiamo trovato del codice offuscato, che viene passato ad una funzione che rimette in chiaro i dati offuscati e forma una stringa valida. 


Convertiti questi valori hex in ASCII, il codice appare essere codificato in base64. Così, una volta usato l'algoritmo base64, abbiamo rinvenuto le seguenti stringhe:

C:\ProgramData\worm.exe
Hxxp://cw57146.tmweb.ru/upload/neut[.]exe

La funzione successiva ha un algoritmo XOR, assieme ad un'altra operazione che viene applicata a tutti i dati delle risorse. La routine di decriptazione viene mostrata nel frammento di seguito


Dopo aver implementato la funzione nel codice, viene trovato un file PD. Il file PE decriptato è un file Delphi per Windows: abbiamo proceduto ad analisi anche di questo ulteriori file. 


Le stringhe codificate in base64

Decodificato anche questo con algoritmo base64, abbiamo individuato le stringhe:
  • Software\Microsoft\Windows\CurrentVersion\Uninstall
  • DisplayName
  • DisplayVersion
  • HARDWARE\DESCRIPTION\System\CentralProcessor\0
  • CreateToolhelp32Snapshot
usate per raccogliere informazioni di sistema come "DisplaName" nella chiave di registro "Unistall" che viene usata  per identificare tutti i software installati nel sistema.“CreateToolhelp32Snapshot” viene invece usato per l'elencazione di tutti i processi in esecuzione. 

Il malware raccoglie anche altri dati come "MachineGuid", "ProductName", "UserName", "ComputerName" ecc... Il malware tenta quindi di inviare questi dati al proprio server C&C usando richieste POST.  Sotto mostriamo come viene costruita questa richiesta:


Il Server C&C ha risposto con una grandissima quantità di dati apparentemente criptati. Ulteriore debugging del file hanno portato a scoprire che il malware legge questi dati usando l'api "InternetReadFile, quindi li decripta usando l'algoritmo XOR con chiave di 3byte. Sappiamo che alcuni dei dati inviati sono stringhe base64 encoded. Queste strigne descrivono ulteriori informazioni che il malware tenta di rubare dalla macchina della vittima, come il nome utente, le password, i software installati, le informazioni sul browser ecc...


Dopo aver decriptato l'altro buffer criptato con XOR, abbiamo scoperto che questo porta con sé tantissime DLL (oltre 48), che vengono scaricate nella cartella :% Temp% \ 2fda. Alcune di queste DLL sono correlate ai plugin del browser. Il malware carica queste DLL in memoria e estrae le informazioni dal browser, i cookie e altri dettagli e recupera perfino l'indirizzo IP pubblico della macchina infetta richiamando “hxxp://ip-api.com/json”.

Tra le altre informazioni raccolte troviamo:
  • l'elenco di tutti i software installati nel sistema;
  • tutti i processi in esecuzione;
  • eventuali informazioni riguardanti molti wallet di criptovaluta (Monero, Electrum, MultiBit ecc...);
  • il nome della macchina;
  • le dimensioni della RAM ecc...
Tutte informazioni che vengono inviate criptate con XOR al server C&C. Il server risponde un semplice "OK" dopo aver ricevuto tutti i dati.  Questi dati sono molto utili: possono essere usati per ottenere accessi non autorizzati sugli account email, bancari e altri servizi. 

Quick Heal individua AZORult come “Trojan.IGENERIC”..

Conclusioni
In mezzo a ransomware e cryptominer, questi malware infostealer sono sul podio dei vettori di attacco preferiti dai cyber criminali. Consigliamo ai nostri utenti di evitare l'accesso a siti web/email sospette e di tenere sempre aggiornato l'antivirus, per impedire che tali malware possano infettare il sistema. Quick Heal è dotato di un'avanzata tecnologia di rilevamento, monitora e blocca costantemente siti dannosi e malware complessi. 

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login