Nuovo Malware Bancario per il Furto di Credenziali Attacca gli Stati Uniti e il Canada
Indice:
Il settore bancario è sempre stato un obiettivo attraente per i cyber-criminali. Dopo che Zeus e Gozi sono emersi nel 2007, i trojan bancari più noti hanno regolarmente fatto notizia svuotando i conti dei clienti. Recentemente, i ricercatori di sicurezza hanno individuato un altro membro della famiglia del malware finanziario. Questa volta la campagna è mirata al settore bancario statunitense e canadese, che è stato preso di mira da un nuovo strumento di furto delle credenziali dall’inizio del 2020.
Panoramica della Campagna
Mentre l’attività dannosa è iniziata nei primi mesi del 2020, i ricercatori di sicurezza hanno rilevato il nuovo strumento di furto delle credenziali solo nel Q3 2020. Evidentemente, applica tecniche di evasione efficaci. Innanzitutto, il malware è composto in linguaggio di scripting AutoHotKey (AHK), il che significa che potrebbe essere lanciato senza un compilatore integrato su un PC compromesso. In secondo luogo, la minaccia carica ogni componente dannoso separatamente, utilizzando script AutoHotKey distinti per vari obiettivi. Una combinazione di queste caratteristiche permette allo strumento di furto delle credenziali di rimanere invisibile ai ricercatori e di eludere il rilevamento del sandbox.
Un altro aspetto notevole di questa campagna dannosa è che potrebbe essere lanciata all’interno di un modello di “hack-for-hire”. I componenti software dannosi sono strettamente sistematizzati. Inoltre, vengono forniti commenti su istruzioni dettagliate per la funzione principale e le variabili. Questi sono indicatori che il malware potrebbe essere stato sviluppato per essere utilizzato su base di servizio. Notoriamente, le istruzioni sono scritte in lingua russa, il che indica un possibile paese di origine per gli sviluppatori.
Nuove capacità del malware bancario
Una catena di infezione a più fasi inizia con documenti Excel con macro incorporate, presumibilmente distribuiti tramite malspam e spear-phishing. Nel caso in cui una vittima venga ingannata ad abilitare una macro VBA AutoOpen, il documento installa e lancia lo script client downloader AutoHotKey (AHK) (adb.ahk) con l’aiuto di un compilatore di script AHK portatile (adb.exe). In questo contesto, adb.ahk viene utilizzato per la persistenza e per la marcatura degli obiettivi. In particolare, utilizza il numero di serie del volume dell’unità C per produrre ID personalizzati per ogni vittima. Questo ID rimane costante ed è utilizzato per tracciare le infezioni riuscite.
Dopo la compilazione e l’ottenimento della persistenza, lo strumento di furto delle credenziali rilascia un “sqlite3.dll” sul dispositivo colpito. Questo DLL lancia query SQL per recuperare i dati di accesso da una vasta gamma di browser, inclusi Microsoft Edge, Google Chrome, Opera, Firefox e Internet Explorer (IE). I credenziali rubati vengono quindi decriptati e inviati al server C2 tramite una richiesta HTTP POST. Vale la pena notare che il componente di furto delle password di IE utilizza un codice malevolo open-source convertito nel linguaggio AutoHotKey, mentre altri componenti sono personalizzati e nativi AHK.
Rilevamento degli attacchi con furto delle credenziali
Considerando le capacità elusive del nuovo malware AutoHotKey, il rilevamento proattivo degli attacchi è una priorità. Trova le tracce di uno strumento di furto delle credenziali recentemente scoperto che punta agli Stati Uniti e al Canada con contenuti di rilevamento gratuiti rilasciati sul Threat Detection Marketplace da Osman Demir:
https://tdm.socprime.com/tdm/info/eBKM4Wg36Rhi/nEbpj3YBmo5uvpkj1M6F/
La regola ha traduzioni per le seguenti piattaforme:
SIEM: Azure Sentinel, ArcSight, QRadar, Splunk, Graylog, Sumo Logic, ELK Stack, RSA NetWitness, LogPoint, Humio
MITRE ATT&CK:
Tattiche: Accesso alle credenziali, Persistenza, Comando e controllo
Tecniche: Credenziali dai Web Browser (T1503), Modifica dei Collegamenti (T1023), Protocollo Standard di Livello Applicazione (T1437)
Iscriviti gratuitamente al Threat Detection Marketplace e trova più contenuti SOC di valore per il rilevamento proattivo degli attacchi. Sii il benvenuto a unirti al nostro Programma di Ricompensa per le Minacce per realizzare le tue regole Sigma e diventare parte della comunità di caccia alle minacce di SOC Prime.
