Da qualche mese il CERT-AgID denuncia la diffusione in Italia di un nuovo malware chiamato MassLogger: è distribuito tramite campagne email di spam con allegati dannosi che colpiscono target specifici come aziende e Pubbliche Amministrazioni. I Quick Heal Security Labs hanno quindi analizzato a fondo questo malware: rimandiamo al sito ufficiale del CERT-AgID per gli appositi indicatori di compromissione. 

MassLogger viene diffuso con allegati email di differenti tipi:

I formati più comuni sono file archivio (come zip, rar e 7z) e documenti (come doc, codm ecc..). Nelle campagne che utilizzano file archivio il payload di Masslogger è in .NET, mentre i documenti contengono una macro VBA che, se attivata, esegue il download del payload di Masslogger da server remoti. 

Nelle analisi non è stato possibile individuare un comportamento standard del malware: al contrario è stato notato un comportamento variabile a seconda delle varianti utilizzate nelle campagne. Le immagine sotto mostrano alcuni processi, a fine esemplificativo:

in alcuni casi, come detto, gli attaccanti utilizzano un file Office come vettore iniziale: questo file contiene una macro VBA e un exploit per l'editor delle equazioni di Office. Le immagini sotto mostrano l'estrazione di un documento Excel che contiene uno storage OLE, contenente a sua volta 2 script VBS e un file che contiene l'exploit per la vulnerabilità CVE-2017-11882. Il file vbaProject.biz contiene invece una macro VBA. 

Qui è disponibile un'analisi più dettagliata dell'exploit per la vulnerabilità CVE-2017-1182. 

Gli attaccanti utilizzano sia l'exploit che le macro VBA al fine di massimizzare le possibilità di distribuzione del payload del malware: se l'exploit dovesse fallire perchè il sistema è stato patchato, c'è comunque una seconda possibilità cioè la macro VBA. 

Il payload viene scaricato da differenti vettori di attacco, come indicato sopra: viene quindi eseguito, ma si mette in standby per alcuni secondi, prima di avviare qualsiasi attività. La catena d'infezione è multistage.

Nel primo stage c'è un semplice codice nascosto in un componente Form(). E' questa porzione di codice ad essere responsabile dell'estrazione di un file DLL dalla directory delle risorse: DLL che, a sua volta, porta all'download di un altra DLL chiamata AndroidStudio.dll

AndroidStudio.dll ha il compito di decomprimere e decriptare un buffer: per la decompressione viene usato il metodo GZip. Questa DLL è usata per scaricare un altro file PE che è responsabile di ulteriori azioni dannose.

Viene quindi scaricato il file lazarus.exe, che è un file .NET altamente offuscato. I Quick Heal Security Labs hanno deoffuscato il file e verificato il comportamento. L'.exe, una volta eseguito, si mette in standby alcuni secondi, quindi verifica se una copia di sé stesso sia già presente al percorso %appdata%. Se non c'è, esegue una copia di sé stesso nella cartella %appdata%. Fatto questo, crea una voce nell'Utilità di Pianificazione di Windows per garantirsi la persistenza sul sistema. Per fare ciò scarica un file di configurazione a.XML nella cartella %temp%, che contiene l'input per creare l'attività pianificata. 

L'attività viene aggiunta coi seguenti comandi:

A questo punto si arriva al payload finale, chiamato MassloggerBin.exe. Tramite la tecnica detta Process Hollowing, questo inietta il codice nei propri processi. L'immagine sottostante mostra l'uso della tecnica del self-hollowing

Una volta scritto e creato il nuovo processo, il processo "genitore" viene terminato e il processo contenente il codice di Masslogger iniettato comincia a funzionare da solo. Il codice di questo processo è altamente offuscato. 

Una volta eseguito, questo file estrae un file DLL chiamato Ionic.Zip.Reduced.dll dalle proprie risorse: è una libreria DotNetZIP free, usata per manipolare le dimensioni dei file ZIP. Il codice usato dagli attaccanti è disponibile a questo sito. Il motivo principale per l'uso di questa libreria è per creare un file .ZIP contenente pacchetti compressi di file come screenshot, risultati del keylogger, informazioni utente ecc...

E' adesso che il malware inizia a raccogliere informazioni dal sistema, come la versione di Windows, CPU, GPU, eventuali antivirus installati, IOP Pubblico e altre informazioni. 

Masslogger ruba informazioni da una serie di applicazioni, poi le invia al server di comando e controllo. Tra queste app troviamo  Telegram Desktop, Pidgin, FileZilla, Discord Token, NordVPN, Outlook, Thunderbird, Firefox, Chromium Recovery. 

Contiene un modulo chiamato WDExclusion utile ad autoescludersi dalle verifiche dell'AntiVirus Windows Defender. 

C'è anche un modulo di diffusione USB, chiamato USB Spread che usa il codice opensource di LimeUSB disponibile su GitHub. E'usato per infettare i file ospitati sui drive USB. 

Tra le varie funzionalità c'è la registrazione di tutte le battiture della tastiera. 

Nel file di configurazione sono indicati alcuni file che il malware deve ricercare e inviare al server di comando e controllo. Questo file di log è poi archiviato nel file SearchAndUpload.zip. Nell'immagine il file di log