Agent Tesla: Campagna malware con dominii creati Ad Hoc
Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.
Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.
Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.
Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.
I dominii sono associati a quattro distinti IP ed effettuando una operazione di Reverse DNS su di essi si identificano molteplici dominii creati Ad Hoc probabilmente usati sempre dal criminale in altre varianti del malware, alcuni esempi:
- smtp.ferrattigroup[.]com
- smtp.petrechemicals[.]com
- smtp.cmis-sa[.]com
- smtp.bhconline-it[.]com
- smtp.i-banking[.]online
La nostra analisi si soffermerà sul binario jiz9.exe che ha evidenziato il coinvolgimento del dominio gruppoiren-it[.]com creato ad hoc per poter inviare le informazioni carpite come è possibile visionare anche dal seguente screenshot tratto dall’esecuzione del malware nella Sand Box Any.run.
Il malware procede ad inviare tramite protocollo SMTP le informazioni carpite dal computer della vittima, quali:
- Nome del Computer
- Utente
- Sistema Operativo
- CPU
- RAM
- IP
- Credenziali Carpite da:
- Firefox
- Seamonkey
- Flock
- Thunderbird
- PostBox
- Chrome
Tutte le undici varianti come abbiamo anticipato sfruttano server SMTP con dominii distinti, nonostante gli IP associati siano i medesimi, e anche gli account sono diversi. Alcuni esempi:
- biggi[@]siamzime[.]com
- emeka[@]skipper-spb[.]com
- foxy[@]jeepine-cn[.]com
- francis[@]amchlk[.]com
- passy[@]hagena-de[.]com
- obi[@]gpbocsh[.]com
- noor[@]cobrauea[.]com
- lavert[@]jsp-ldt[.]com
Per quanto riguarda il Gruppo Iren viene invece usato il reale nome di un dipendente, verificabile tramite Linkedin, e il corretto formato dell’account: nome.cognome[@]gruppoiren-it[.]com.
È ipotizzabile, nonostante l’attuale assenza di evidenze, che questo account sia stato usato o possa essere usato per un attacco mirato di Spear Phishing verso il Gruppo Iren.
L’analisi del malware, sviluppato in dotNet, ha confermato quanto anticipato. Nella immagine seguente vediamo la namespace che ha il compito di estrarre le credenziali salvate in Mozilla Firefox.
Il whois del dominio gruppoiren-it[.]com ha evidenziato la registrazione del dominio in data 21 Febbraio 2019, con indicazione dettagliate in merito al registrante:
Registrant Name: Simon Paul
Registrant Street: 16A raod off high way, Goa
Registrant City: Goa
Registrant Postal Code: 098068,
Registrant Country: IN
Registrant Email: [email protected]
Admin Phone: +91.9905564812
Il dominio che riceve i dati carpiti dal malware si presenta molto simile al dominio ufficiale del Gruppo Iren. In gergo tecnico tale attività di modifica ingannevole di un nome dominio, al fine di eludere ignare vittime, viene definita Bitsquatting.
Tali misfatti, vengono analizzati quotidianamente da D3Lab, in particolar modo nell’ambito dall’attività di contrasto al phishing.
Il servizio di Brand Monitor svolto da D3Lab, consiste proprio nel prevenire tali tipologie di reati che nascono principalmente dell’inganno legato al nome del brand.
Quotidianamente viene effettuata attività di monitoraggio sia in ambienti OSINT che CLOSINT, al fine di osservare la nascita di domini truffa, una volta individuata la presenza online dell’attività illecita D3Lab provvede ad effettuare la notifica al relativo Internet service provider con contestuale richiesta di takedown, riuscendo in tal modo a prevenire il proseguirsi dell’illecito ed eventualmente scongiurare i risvolti negativi che collegano un brand ad una attività di diffusione di malware.
IoC
Di eseguito un estratto degli indicatori di compromissione più salienti:
- 208.91.198[.]143
- 208.91[.]199.225
- 208[.]91.199.224
- 208.91.199[.]225
- ahsantiago[.]pt
- bhpfinancialplanning[.]co[.]uk
- smtp.amchlk[.]com
- smtp.cobrauea[.]com
- smtp.gpbocsh[.]com
- smtp.gruppoiren-it[.]com
- smtp.hagena-de[.]com
- smtp.jeepine-cn[.]com
- smtp.jsp-ldt[.]com
- smtp.siamzime[.]com
- smtp.skipper-spb[.]com
- jiz9.exe: 009977313d777a207e1e1dced2062bae0beb5bc8394d9f3eabd785d8cb3c6a58
- 733_01042019.xlsx: 7765df6489e8792508192e007f0fe900310182d6031a61f216df945d64055cbb
Trackbacks & Pingbacks
[…] Agent Tesla: Campagna malware con dominii creati Ad Hoc […]
[…] Agent Tesla: Campagna malware con dominii creati Ad Hoc […]
[…] Italian version here. […]
I commenti sono chiusi.