Zloader, conosciuto anche come Terdot, è una variante del famigerato trojan bancario Zeus, molto conosciuto per l'uso assai aggressivo di documenti .xls  .xlsx come vettori iniziali per la distribuzione del payload del malware. Molto diffuso in tutto il mondo, in Italia compare con alcune campagne a cadenza irregolare, come indicato dal CERT-AgiD. 

I nostri ricercatori hanno però individuato e analizzato una nuova campagna, studiando la quale sono emerse alcune modifiche nella catena di infezione di Zloader, a partire dall'uso di file .docm invece dei classici formati file Excel: dietro, probilmente, c'è la volontà di migliorare le chance del malware di non essere rilevato dalle soluzioni di sicurezza. 

Nel campione analizzato, la catena di infezione inizia con un file ".docm"  ovvero “Macro-enabled Office Word document”. Come si può vedere sotto, il documento mostra all'utente una finestra di dialogo nel quale si chiede l'abilitazione della macro

Abbiamo quindi ossevato le attività che originano dall'abilitazione della macro, ma non abbiamo registrato attività. La risposta è arrivata dall'analisi del codice VBA: abilitare il contenuto infatti non eseguirà macro. L'esecuzione della macro si ha solo al momento della chiusura del documento da parte dell'utente, come si può vedere sotto

Non appena l'utente chiude il documento, viene chiamata la funzione "nnn" che è la funzione principale della macro VBA: quindi vengono chiamate ulteriori sotto funzioni. Qui gli attaccanti fanno uso anche di "Userform" per eseguire l'attività next-stage,  a riconferma di una catena di infezione a più stadi - stage. 

La funzione UserForm_Initialize() è chiamata per richiamare “Userform2”. Nella dialog box, i dati dell'url sono suddivisi in blocchi e sovrapposti al 25° ComboBox: lo scopo è nascondere i dati effettivi come mostrato sotto

Dopo aver esaminato tutti i combobox e gli userform, siamo comunque stati in grado di individuare l'URL dannoso dal quale viene scaricato il payload per la seconda fase di infezione. 

E' il sito hxxps[:]//feelingfit-always[.]com/1[.]php, già contrassegnato come dannoso su Virus Total: viene usato per scaricare un file .xls protetto da passsword. La sua password è integrata e ben nascosta nello Userform1 della macro VBA. Analizzando i dati di userform1, siamo riusciti ad estrarre la password nascosta

Proteggere i documenti con password è una classica tecnica per difendere i malware dai vendor di Anti Virus: senza la password corretta non è possibile proseguire ad una analisi più approfondita. In questo caso, la password estratta permette di visualizzare e analizzare la macro XLM usata nello "sheet3" per eseguire ulteriori attività.

Qui vi sono, nascoste tra le celle, ulteriori funzioni: una richiama l'URL dal quale viene scaricato il payload di 3 e ultima fase, che è una DLL.

La DLL scaricata è il payload finale di Zloader: è altamente offuscata, evita chiamate dirette alle APi Windows ed ha alcune accortezze che rendono assai complicato il processo di ingegneria inversa. La DLL crea il processo msiexec.exe, che è un processo legittimo di Windows che appartiene al programma di installazione dei componenti di Windows: questo processo resta in modalità sospesa, ma al suo interno è inserito un file criptato. Clicca sull'immagine sotto per ingrandirla:

Quindi viene iniettata una ruotine che decripterà e renderà eseguibile il PE dannoso. Nel frattempo vengono tentate più connessioni a server di comando e controllo, come si vede in foto sotto

Al momento dell'analisi però tali URLs risultavano down, quindi non ci è stato possibile proseguire ulteriormente nell'analisi.

Questo tipo di attacchi mostra come i cyber attaccanti siano sempre in cerca di meccanismi nuovi e più efficaci per migliorare la catena di infezione e compromettere sempre più vittime. Gli utenti devono sempre essere cauti al momento dell'apertura di un file Office. Soluzioni di sicurezza aziendale come quelle di Seqrite e Quick Heal per i piccoli uffici / home pc proteggono gli utenti da minacce di questo tipo. Ecco perchè è importante mantenere sempre aggiornate le soluzioni di sicurezza.