Agent Tesla: Campagna malware con dominii creati Ad Hoc - HackerSecret.it - Il Sito Italiano Più Autorevole sul Mondo dell'Hacking, del Penetration Testing e della CyberSecurity

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

I dominii sono associati a quattro distinti IP ed effettuando una operazione di Reverse DNS su di essi si identificano molteplici dominii creati Ad Hoc probabilmente usati sempre dal criminale in altre varianti del malware, alcuni esempi:

smtp.ferrattigroup[.]com
smtp.petrechemicals[.]com
smtp.cmis-sa[.]com
smtp.bhconline-it[.]com
smtp.i-banking[.]online

La nostra analisi si soffermerà sul binario jiz9.exe che ha evidenziato il coinvolgimento del dominio gruppoiren-it[.]com creato ad hoc per poter inviare le informazioni carpite come è possibile visionare anche dal seguente screenshot tratto dall’esecuzione del malware nella Sand Box Any.run.

Il malware procede ad inviare tramite protocollo SMTP le informazioni carpite dal computer della vittima, quali:

Nome del Computer
Utente
Sistema Operativo
CPU
RAM
IP
Credenziali Carpite da:
- Firefox
- Seamonkey
- Flock
- Thunderbird
- PostBox
- Chrome

Tutte le undici varianti come abbiamo anticipato sfruttano server SMTP con dominii distinti, nonostante gli IP associati siano i medesimi, e anche gli account sono diversi. Alcuni esempi:

biggi[@]siamzime[.]com
emeka[@]skipper-spb[.]com
foxy[@]jeepine-cn[.]com
francis[@]amchlk[.]com
passy[@]hagena-de[.]com
obi[@]gpbocsh[.]com
noor[@]cobrauea[.]com
lavert[@]jsp-ldt[.]com

Per quanto riguarda il Gruppo Iren viene invece usato il reale nome di un dipendente, verificabile tramite Linkedin, e il corretto formato dell’account: nome.cognome[@]gruppoiren-it[.]com.

È ipotizzabile, nonostante l’attuale assenza di evidenze, che questo account sia stato usato o possa essere usato per un attacco mirato di Spear Phishing verso il Gruppo Iren.

L’analisi del malware, sviluppato in dotNet, ha confermato quanto anticipato. Nella immagine seguente vediamo la namespace che ha il compito di estrarre le credenziali salvate in Mozilla Firefox.

Il whois del dominio gruppoiren-it[.]com ha evidenziato la registrazione del dominio in data 21 Febbraio 2019, con indicazione dettagliate in merito al registrante:

Registrant Name: Simon Paul
Registrant Street: 16A raod off high way, Goa
Registrant City: Goa
Registrant Postal Code: 098068,
Registrant Country: IN
Registrant Email: elcantojoines@gmail.com
Admin Phone: +91.9905564812

Il dominio che riceve i dati carpiti dal malware si presenta molto simile al dominio ufficiale del Gruppo Iren. In gergo tecnico tale attività di modifica ingannevole di un nome dominio, al fine di eludere ignare vittime, viene definita Bitsquatting.

Tali misfatti, vengono analizzati quotidianamente da D3Lab, in particolar modo nell’ambito dall’attività di contrasto al phishing.

Il servizio di Brand Monitor svolto da D3Lab, consiste proprio nel prevenire tali tipologie di reati che nascono principalmente dell’inganno legato al nome del brand.

Quotidianamente viene effettuata attività di monitoraggio sia in ambienti OSINT che CLOSINT, al fine di osservare la nascita di domini truffa, una volta individuata la presenza online dell’attività illecita D3Lab provvede ad effettuare la notifica al relativo Internet service provider con contestuale richiesta di takedown, riuscendo in tal modo a prevenire il proseguirsi dell’illecito ed eventualmente scongiurare i risvolti negativi che collegano un brand ad una attività di diffusione di malware.

IoC

Di eseguito un estratto degli indicatori di compromissione più salienti:

208.91.198[.]143
208.91[.]199.225
208[.]91.199.224
208.91.199[.]225
ahsantiago[.]pt
bhpfinancialplanning[.]co[.]uk
smtp.amchlk[.]com
smtp.cobrauea[.]com
smtp.gpbocsh[.]com
smtp.gruppoiren-it[.]com
smtp.hagena-de[.]com
smtp.jeepine-cn[.]com
smtp.jsp-ldt[.]com
smtp.siamzime[.]com
smtp.skipper-spb[.]com
jiz9.exe: 009977313d777a207e1e1dced2062bae0beb5bc8394d9f3eabd785d8cb3c6a58
733_01042019.xlsx: 7765df6489e8792508192e007f0fe900310182d6031a61f216df945d64055cbb

L’articolo Agent Tesla: Campagna malware con dominii creati Ad Hoc proviene da D3Lab.

D3Lab

Stai cercando prodotti per l’hacking, la sicurezza informatica e il penetration testing? Hai bisogno di bonificare il tuo smartphone, il tuo pc o il tuo sito da virus e malware? Devi rintracciare una persona o recuperare delle informazioni urgenti? Devi riprendere possesso di un account, una mail o di una password che ti hanno sottratto? Vuoi acquistare device già configurati per sperimentare tutte le tecniche di hacking in modo facile e veloce? Hai esigenze particolari in ambito software o hardware? Possiamo aiutarti!

Contattaci subito per avere un aiuto immediato : dettagliaci tramite mail o Whatsapp che tipo di supporto ti occorre e ti invieremo un riscontro immediato!