cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

04 marzo 2021
MassLogger: lo spyware e keylogger emergente diffuso in Italia con campagne email


Da qualche mese il CERT-AgID denuncia la diffusione in Italia di un nuovo malware chiamato MassLogger: è distribuito tramite campagne email di spam con allegati dannosi che colpiscono target specifici come aziende e Pubbliche Amministrazioni. I Quick Heal Security Labs hanno quindi analizzato a fondo questo malware: rimandiamo al sito ufficiale del CERT-AgID per gli appositi indicatori di compromissione. 

Dettagli tecnici:
MassLogger viene diffuso con allegati email di differenti tipi:
  • zip
  • rar
  • gz
  • 7z
  • img
  • iso
  • doc
  • arj
  • xz
  • ace
  • docm
  • z
  • xlsm
  • cab
I formati più comuni sono file archivio (come zip, rar e 7z) e documenti (come doc, codm ecc..). Nelle campagne che utilizzano file archivio il payload di Masslogger è in .NET, mentre i documenti contengono una macro VBA che, se attivata, esegue il download del payload di Masslogger da server remoti. 

Nelle analisi non è stato possibile individuare un comportamento standard del malware: al contrario è stato notato un comportamento variabile a seconda delle varianti utilizzate nelle campagne. Le immagine sotto mostrano alcuni processi, a fine esemplificativo:





Analisi dei documenti:
in alcuni casi, come detto, gli attaccanti utilizzano un file Office come vettore iniziale: questo file contiene una macro VBA e un exploit per l'editor delle equazioni di Office. Le immagini sotto mostrano l'estrazione di un documento Excel che contiene uno storage OLE, contenente a sua volta 2 script VBS e un file che contiene l'exploit per la vulnerabilità CVE-2017-11882. Il file vbaProject.biz contiene invece una macro VBA. 


Qui è disponibile un'analisi più dettagliata dell'exploit per la vulnerabilità CVE-2017-1182. 

Gli attaccanti utilizzano sia l'exploit che le macro VBA al fine di massimizzare le possibilità di distribuzione del payload del malware: se l'exploit dovesse fallire perchè il sistema è stato patchato, c'è comunque una seconda possibilità cioè la macro VBA. 

Analisi del Payload
Il payload viene scaricato da differenti vettori di attacco, come indicato sopra: viene quindi eseguito, ma si mette in standby per alcuni secondi, prima di avviare qualsiasi attività. La catena d'infezione è multistage.

Primo Stage
Nel primo stage c'è un semplice codice nascosto in un componente Form(). E' questa porzione di codice ad essere responsabile dell'estrazione di un file DLL dalla directory delle risorse: DLL che, a sua volta, porta all'download di un altra DLL chiamata AndroidStudio.dll



AndroidStudio.dll ha il compito di decomprimere e decriptare un buffer: per la decompressione viene usato il metodo GZip. Questa DLL è usata per scaricare un altro file PE che è responsabile di ulteriori azioni dannose.

Secondo stage: lazarus.exe
Viene quindi scaricato il file lazarus.exe, che è un file .NET altamente offuscato. I Quick Heal Security Labs hanno deoffuscato il file e verificato il comportamento. L'.exe, una volta eseguito, si mette in standby alcuni secondi, quindi verifica se una copia di sé stesso sia già presente al percorso %appdata%. Se non c'è, esegue una copia di sé stesso nella cartella %appdata%. Fatto questo, crea una voce nell'Utilità di Pianificazione di Windows per garantirsi la persistenza sul sistema. Per fare ciò scarica un file di configurazione a.XML nella cartella %temp%, che contiene l'input per creare l'attività pianificata. 


L'attività viene aggiunta coi seguenti comandi:
“C:\Windows\System32\schtasks.exe” /Create /TN “Updates\” /XML “C:\Users\\AppData\Local\Temp\tmp.tmp”

A questo punto si arriva al payload finale, chiamato MassloggerBin.exe. Tramite la tecnica detta Process Hollowing, questo inietta il codice nei propri processi. L'immagine sottostante mostra l'uso della tecnica del self-hollowing


Una volta scritto e creato il nuovo processo, il processo "genitore" viene terminato e il processo contenente il codice di Masslogger iniettato comincia a funzionare da solo. Il codice di questo processo è altamente offuscato. 

Stage 3: MassLoggerBin.exe
Una volta eseguito, questo file estrae un file DLL chiamato Ionic.Zip.Reduced.dll dalle proprie risorse: è una libreria DotNetZIP free, usata per manipolare le dimensioni dei file ZIP. Il codice usato dagli attaccanti è disponibile a questo sito. Il motivo principale per l'uso di questa libreria è per creare un file .ZIP contenente pacchetti compressi di file come screenshot, risultati del keylogger, informazioni utente ecc...

E' adesso che il malware inizia a raccogliere informazioni dal sistema, come la versione di Windows, CPU, GPU, eventuali antivirus installati, IOP Pubblico e altre informazioni. 

Le funzionalità di MassLogger
1. Furto dati dalle applicazioni
Masslogger ruba informazioni da una serie di applicazioni, poi le invia al server di comando e controllo. Tra queste app troviamo  Telegram Desktop, Pidgin, FileZilla, Discord Token, NordVPN, Outlook, Thunderbird, Firefox, Chromium Recovery. 

2. Autoesclusione da Windows Defender
Contiene un modulo chiamato WDExclusion utile ad autoescludersi dalle verifiche dell'AntiVirus Windows Defender. 

3. Modulo di diffusione USB
C'è anche un modulo di diffusione USB, chiamato USB Spread che usa il codice opensource di LimeUSB disponibile su GitHub. E'usato per infettare i file ospitati sui drive USB. 


4. Keylogger e furto degli appunti
Tra le varie funzionalità c'è la registrazione di tutte le battiture della tastiera. 


5. Ricerca e Upload
Nel file di configurazione sono indicati alcuni file che il malware deve ricercare e inviare al server di comando e controllo. Questo file di log è poi archiviato nel file SearchAndUpload.zip. Nell'immagine il file di log

Ultime news

Per saperne di più

Expiro: un vecchio malware risorge e lancia una nuova sfida

22 marzo 2023

Alcuni utenti hanno recentemente subito una nuova infezione. Velocemente abbiamo verificato come questo attacco fosse dovuto a Exp...

Per saperne di più

La criptazione end-to-end rende difficile per le forze dell'ordine reprimere il crimine. Parola del CTO di Quick Heal

15 marzo 2023

traduzione dell'articolo di NABEEL AHMED su "The Hindu.com" - End-to-end encryption makes it difficult for law enforcement agencie...

Per saperne di più

Cyber Security Alert: Quick Heal mira ad espandere il suo ramo aziendale Seqrite

08 marzo 2023

traduzione dell'articolo Cyber Security Alert: Quick Heal Aims To Expand Its Enterprise Arm di Entrepreneur IndiaCon l'e...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas