NEWS

Nuova campagna di email dannose contro le aziende: in diffusione il malware SmokeLoader


LUNEDÌ 29 GENNAIO 2018 - 11:30



Gli allegati email
sono il mezzo preferito dagli aggressori per diffondere malware. Possono essere utilizzati per attaccare un utente specifico o più utenti contemporaneamente lanciando campagne di posta indesiderata. Per riuscire a portare a termine un attacco malware, è necessario che i destinatari dell'email dannosa si fidino e facciano ciò che l'hacker vuole. Per raggiungere questo obiettivo, gli autori di malware impiegano sempre nuove tattiche per rendere le loro email più credibili possibile.

I Quick Heal Security Labs hanno recentemente osservato una nuova campagna di spam che sta diffondendo il malware SmokeLoader. SmokeLoader è un Trojan downloader ed è noto per il download e l'installazione di altri malware sul computer infetto.

L'infezione
L'attacco inizia con un'email di spam che finge di essere una domanda di lavoro. Questa email contiene un file .zip protetto da password. La password per aprire il file zip è indicata nel corpo dell'email di spam stessa. Questo trucco dà all'aggressore i seguenti vantaggi:
  • L'email sembra più legittima per l'utente
  • È difficile per i moduli di protezione della posta elettronica eseguire la scansione di file all'interno di file .zip protetti da password.
La Fig. 1 mostra un esempio di email utilizzata nella campagna.

Fig 1. Email con un allegato dannoso

Come possiamo vedere nella figura 1, l'email si presenta come una richiesta di lavoro, contenente un curriculum in un file .zip protetto da password. Dopo averlo scaricato, il file .zip richiede la password (12345), che è fornita nel corpo dell'email. Una volta eseguita l'estrazione, si ottiene il file "resume.doc". Questo file è documento Word contenente una macro dannosa. Se l'utente tenta di aprire il documento per visualizzarne il contenuto, viene richiesta l'abilitazione della macro facendo clic sul pulsante "Abilita Contenuto" come mostrato nella figura 2.

Fig 2. File Doc che chiede di abilitare la macro

Quando l'utente attiva la macro facendo clic su "Abilita Contenuto", in background viene eseguita la macro dannosa che a sua volta avvia PowerShell: a sua volta PowerShell richiede il file, ospitato in remoto, lo scarica, quindi esegue il payload dannoso sul sistema dell'utente.

Fig 3. Codice macro dannoso all'interno del file doc

Il codice sopra menzionato lancia un PowerShell con parametri dannosi come mostrato in fig 4.

Fig 4. PowerShell in esecuzione con parametri dannosi

Il file dannoso è salvato come "poop.jpg" sul server dell'attaccante: in realtà è l'eseguibile del malware SmokeLoader. Questo file viene scaricato sul sistema con il nome DKSPKD.exe nella cartella  %Temp% e avviato per eseguire le attività dannose.

Alcune delle attività significative osservate durante l'analisi di questa campagna di truffa sono le seguenti:
  • Il malware funziona solo su Microsoft Windows 8 e successivi
  • Durante l'esecuzione, il malware blocca tutti i processi relativi agli strumenti di analisi del malware e al debugger.
  • Una volta eseguita correttamente, SmokeLoader può scaricare altri componenti del malware sul sistema infetto.
Il rilevamento da parte di Seqrite
Seqrite Browser Protection blocca correttamente gli URL dannosi utilizzati per scaricare il payload.

Fig 5: Avviso Seqrite Browser Protection per la navigazione

Seqrite Virus Protection rileva e blocca con successo i file dannosi responsabili della distribuzione del payload nel sistema.

Fig 6. Avviso Seqrite Virus Protection per file doc

Seqrite Virus Protection rileva e blocca anche il payload di SmokeLoader.

Fig. 7. Avviso Seqrite Virus Protection per payload dannoso

Come proteggersi dai malware
  • Non scaricare allegati o cliccare sui collegamenti ricevuti da fonti di posta sconosciute, indesiderate o impreviste.
  • Fare attenzione alle email che chiedono di abilitare i "macro" per visualizzare il contenuto.
  • Mantenere aggiornato l'antivirus e assicurarsi di utilizzare la versione più recente.
  • Conservare sempre un backup dei dati importanti.
  • Applicare tutti gli aggiornamenti consigliati sul sistema operativo e programmi come Adobe, Java, browser Internet, ecc.
  • Assicurarsi che gli aggiornamenti automatici del computer siano abilitati.

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login