cs@s-mart.biz +39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
cs@s-mart.biz
+39 055 43 03 52
Global
Italy
Japan
Poland
LATAM
SEQRITE
  • PRODOTTI
  • RISORSE
  • SUPPORTO
  • PARTNER
  • NEWS
  • CHI SIAMO
  • CONTATTI
  • PRODOTTI

    PROTEZIONE ENDPOINT E DATI

    »Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
    • Seqrite mSuite

    SICUREZZA GATEWAY

    »Unified Threat Management (UTM)

    PROTEZIONE SERVER

    »Seqrite Antivirus per Server
  • RISORSE
    News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
    Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
    Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
    Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
    Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
    White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
  • SUPPORTO
    FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
    APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
    Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
    Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
  • PARTNER
    PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
    DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
    LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
    REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
  • NEWS
  • CHI SIAMO
    PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
    LEADERSHIP Management team di Seqrite
    PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore
  • CONTATTI

PROTEZIONE ENDPOINT E DATI

»Endpoint Security On Premise »Endpoint Security Cloud »Gestione Dispositivi Mobile aziendali
  • Seqrite mSuite

SICUREZZA GATEWAY

»Unified Threat Management (UTM)

PROTEZIONE SERVER

»Seqrite Antivirus per Server
News Aggiornamenti, alert, avvisi e strategie per la sicurezza aziendale.
Schede Tecniche Scarica le schede tecniche dei prodotti, con elenco delle funzioni, tabella comparativa e informazioni sui requisiti di sistema.
Manuali Fai riferimento alle nostre guide utente per informazioni riguardanti l'installazione e l'uso degli Antivirus Seqrite.
Case Studies Esempi reali di come Seqrite ha aiutato le imprese a massimizzare la sicurezza aziendale.
Report delle Minacce Rimani aggiornato riguardo le più recenti minacce informatiche con i nostri report trimestrali.
White Papers Approfondisci la conoscenza delle nostre soluzioni per migliorare le operazioni aziendali.
FAQ PRODOTTI Trova una risposta alla tua richiesta di supporto tra le domande più frequenti.
APRI UN TICKET Apri un ticket di assistenza (servizio riservato ai partner Seqrite).
Offline Updater Aggiorna il tuo Seqrite Unified Threat Management (UTM) al più recente database dei virus.
Aggiornamento Firmware Aggiorna il tuo Seqrite Unified Threat Management (UTM) con il più recente Firmware Upgrade.
PARTNER PROGRAM La tua esperienza e le nostre soluzioni ti aiutano a differenziare e a far crescere il tuo business.
DIVENTA UN PARTNER Diventa un nostro partner e accresci il tuo business.
LOCALIZZA PARTNER Cerca i nostri partner nel mondo.
REGISTRAZIONE ACCORDI Registra le tue opportunità di vendita.
PANORAMICA Aiutiamo le imprese a semplificare la sicurezza IT ed a massimizzare le loro performance
LEADERSHIP Management team di Seqrite
PREMI E CERTIFICAZIONI Le nostre soluzioni di sicurezza vengono riconosciute anno dopo anno dalle associazioni, dai media e dalle organizzazioni del settore

29 marzo 2021
Zloader: l'evoluzione della catena di infezione


Zloader, conosciuto anche come Terdot, è una variante del famigerato trojan bancario Zeus, molto conosciuto per l'uso assai aggressivo di documenti .xls  .xlsx come vettori iniziali per la distribuzione del payload del malware. Molto diffuso in tutto il mondo, in Italia compare con alcune campagne a cadenza irregolare, come indicato dal CERT-AgiD. 

I nostri ricercatori hanno però individuato e analizzato una nuova campagna, studiando la quale sono emerse alcune modifiche nella catena di infezione di Zloader, a partire dall'uso di file .docm invece dei classici formati file Excel: dietro, probilmente, c'è la volontà di migliorare le chance del malware di non essere rilevato dalle soluzioni di sicurezza. 


Vettore iniziale:
Nel campione analizzato, la catena di infezione inizia con un file ".docm"  ovvero “Macro-enabled Office Word document”. Come si può vedere sotto, il documento mostra all'utente una finestra di dialogo nel quale si chiede l'abilitazione della macro


Abbiamo quindi ossevato le attività che originano dall'abilitazione della macro, ma non abbiamo registrato attività. La risposta è arrivata dall'analisi del codice VBA: abilitare il contenuto infatti non eseguirà macro. L'esecuzione della macro si ha solo al momento della chiusura del documento da parte dell'utente, come si può vedere sotto


Non appena l'utente chiude il documento, viene chiamata la funzione "nnn" che è la funzione principale della macro VBA: quindi vengono chiamate ulteriori sotto funzioni. Qui gli attaccanti fanno uso anche di "Userform" per eseguire l'attività next-stage,  a riconferma di una catena di infezione a più stadi - stage. 


La funzione UserForm_Initialize() è chiamata per richiamare “Userform2”. Nella dialog box, i dati dell'url sono suddivisi in blocchi e sovrapposti al 25° ComboBox: lo scopo è nascondere i dati effettivi come mostrato sotto


Dopo aver esaminato tutti i combobox e gli userform, siamo comunque stati in grado di individuare l'URL dannoso dal quale viene scaricato il payload per la seconda fase di infezione. 


E' il sito hxxps[:]//feelingfit-always[.]com/1[.]php, già contrassegnato come dannoso su Virus Total: viene usato per scaricare un file .xls protetto da passsword. La sua password è integrata e ben nascosta nello Userform1 della macro VBA. Analizzando i dati di userform1, siamo riusciti ad estrarre la password nascosta


Il payload di 2° stage
Proteggere i documenti con password è una classica tecnica per difendere i malware dai vendor di Anti Virus: senza la password corretta non è possibile proseguire ad una analisi più approfondita. In questo caso, la password estratta permette di visualizzare e analizzare la macro XLM usata nello "sheet3" per eseguire ulteriori attività.


Qui vi sono, nascoste tra le celle, ulteriori funzioni: una richiama l'URL dal quale viene scaricato il payload di 3 e ultima fase, che è una DLL.

Analisi del payload finale
La DLL scaricata è il payload finale di Zloader: è altamente offuscata, evita chiamate dirette alle APi Windows ed ha alcune accortezze che rendono assai complicato il processo di ingegneria inversa. La DLL crea il processo msiexec.exe, che è un processo legittimo di Windows che appartiene al programma di installazione dei componenti di Windows: questo processo resta in modalità sospesa, ma al suo interno è inserito un file criptato. Clicca sull'immagine sotto per ingrandirla:


Quindi viene iniettata una ruotine che decripterà e renderà eseguibile il PE dannoso. Nel frattempo vengono tentate più connessioni a server di comando e controllo, come si vede in foto sotto


Al momento dell'analisi però tali URLs risultavano down, quindi non ci è stato possibile proseguire ulteriormente nell'analisi.

Conclusioni
Questo tipo di attacchi mostra come i cyber attaccanti siano sempre in cerca di meccanismi nuovi e più efficaci per migliorare la catena di infezione e compromettere sempre più vittime. Gli utenti devono sempre essere cauti al momento dell'apertura di un file Office. Soluzioni di sicurezza aziendale come quelle di Seqrite e Quick Heal per i piccoli uffici / home pc proteggono gli utenti da minacce di questo tipo. Ecco perchè è importante mantenere sempre aggiornate le soluzioni di sicurezza. 

Ultime news

Per saperne di più

Cloud ibrido: la proattività è la chiave per risolvere le sfide di sicurezza

27 gennaio 2023

Il modello del cloud ibrido sta velocemente diventando l'ambiente scelto dalle aziende. La ragione è semplice: questo modello offr...

Per saperne di più

Powershell: il paradiso dei cyber attaccanti

20 gennaio 2023

di Mrigank Tyagi, Senior Security Researcher @Quick Heal TechnologiesPowerShell era stato originariamente concepito come programma...

Per saperne di più

Chiamate dall'underground: un modo alternativo di penetrare nelle reti aziendali

16 gennaio 2023

traduzione dell'articolo originale di Sathwik Ram Prakki - Security Researcher Quick Heal Security LabsGli attaccanti utilizzano m...

Supporto

Vedi le FAQ
Supporto Utenti
Partner Program
Diventa Partner
Community Seqrite

Risorse

News
White Papers
Report sulle minacce
Manuali
Case Studies

Chi siamo

Panoramica
Perché Seqrite
Leadership
Premi e Certificazioni
Contatti





P.IVA: 05345670482   
© S-MART è un marchio di proprietà netWork Sas