Sintesi malware: XWorm, TrickMo e Remcos

Con l'avvicinarsi di Halloween, ho pensato che sarebbe una buona idea dedicare questo Malware Brief post alle minacce che si trasformano o che hanno subito cambiamenti significativi. Perché è un po' come indossare un costume, capito? Ok, non è il miglior collegamento tematico di sempre, ma è quello che ho, non @ me.

In ogni caso, esamineremo tre minacce. La prima è XWorm, un Trojan di accesso remoto (RAT) che fa tutto e utilizza molte tecniche diverse per infiltrarsi nelle reti. La sua ampia disponibilità in versioni crackate ha contribuito a far crescere la sua popolarità.

Segue TrickMo, un Trojan Android che è nato come malware desktop TrickBot, prima di passare al mobile.

Infine daremo un'occhiata a Remcos, uno strumento di accesso remoto legittimo che — come altri — è stato riproposto come RAT che offusca la sua natura e lancia minacce persistenti avanzate (APT).

XWorm: RAT coltellino svizzero mutaforma

Tipo: RAT modulare

Funzionalità: Spionaggio tramite webcam, dirottamento degli appunti, comportamento simile al ransomware e altro ancora

Tecniche principali: bypass AMSI, loader PowerShell/VBS, propagazione USB, HVNC, ecc.

Attori delle minacce: TA558, NullBuldge, UAC-0184

Distribuzione: Inizialmente venduto come malware-as-a-service utilizzando più livelli e funzionalità, successivamente ampiamente disponibile in versioni piratate gratuite.

XWorm è estremamente popolare, non solo perché le versioni craccate sono disponibili gratuitamente, ma anche perché è estremamente facile da usare, offre una vasta gamma di funzionalità ed è frequentemente aggiornato dai suoi sviluppatori. Questo lo rende molto popolare non solo tra gruppi di criminali informatici organizzati e professionali come TA558, NullBuldge e UAC-0184, ma anche tra hacker amatoriali con competenze e capacità limitate.

Una delle caratteristiche che rende XWorm particolarmente difficile da rilevare è il suo approccio dinamico all'infezione. Sfrutta una vasta gamma di loader e utilizza una varietà di formati di file e linguaggi di scripting, tra cui PowerShell, VBS, eseguibili .NET, JavaScript, script batch, .hta, .lnk, .iso, .vhd, .img e altri per preparare e caricare il suo payload. Questo lo aiuta a eludere le difese convenzionali degli endpoint e gli strumenti di sandboxing.

TrickMo: Trojan Android con un'eredità di TrickBot

Tipo: Trojan bancario

Funzionalità: Abilita il controllo remoto del dispositivo infetto, insieme alla raccolta di file, registrazione dei tasti e altro ancora

Attori delle minacce: Affiliati del gruppo TrickBot ora defunto

Distribuzione e infezione: Il dropper si maschera da browser web Google Chrome che invita l'utente ad aggiornare Google Play Services, a quel punto scarica un file APK contenente il payload di TrickMo.

Sistemi target: dispositivi mobili Android

Basato sul Trojan TrickBot di lunga data che prende di mira i sistemi desktop Windows, TrickMo esemplifica l'evoluzione dal malware desktop a quello mobile. Invitando l'utente ad abilitare i servizi di accessibilità, TrickMo acquisisce ampie capacità per controllare e accedere al dispositivo e ai dati in esso memorizzati.

Nelle sue varianti più recenti, TrickMo utilizza falsi blocchi schermo e schermate di accesso per raccogliere le credenziali degli utenti. Tuttavia, è anche in grado di intercettare password monouso, registrare le interazioni sullo schermo inclusi i modelli di sblocco, esfiltrare dati utilizzando 22 diverse infrastrutture di comando e controllo conosciute, concedere automaticamente permessi e altro ancora.

Resiste all'analisi e offusca la sua natura utilizzando file .zip malformati per la distribuzione, tra le altre tecniche.

Remcos: Legittimo strumento di accesso remoto diventato dannoso

Tipo: Strumento commerciale di accesso remoto spesso abusato in campagne di phishing e kit di exploit

Funzionalità: Consente agli attaccanti di prendere il controllo amministrativo dei sistemi mirati, trovare ed esfiltrare dati e altro ancora

Attori delle minacce: APT33, The Gorgon Group, UAC-0050

Distribuzione e infezione: Le e-mail di phishing ingannano gli utenti facendogli scaricare un file apparentemente innocuo che contiene un oggetto OLE che sfrutta la vulnerabilità di esecuzione di codice remoto (RCE) CVE-2017-0199.

Sebbene la vulnerabilità CVE-2017-0199 sia nota dal 2017, abbondano i sistemi non aggiornati, offrendo agli attaccanti ampie opportunità per continuare a sfruttarli.

Esiste una tendenza in corso di attaccanti che utilizzano strumenti commerciali di accesso remoto come Remcos per prendere il controllo dei sistemi mirati a fini criminali. Mentre tali strumenti hanno usi legittimi per il supporto IT e per i lavoratori che controllano da remoto i sistemi d'ufficio da postazioni esterne, il loro utilizzo per scopi nefandi ha implicazioni significative per la sicurezza.

Contrattaccare

Combattere questi attacchi dipende da:

• Disporre di un'infrastruttura di sicurezza informatica solida che utilizza tecnologie di rilevamento basate su IA che sconfiggono tecniche avanzate di offuscamento
• Garantire che gli utenti siano ben addestrati per identificare le e-mail sospette che potrebbero essere tentativi di phishing e confermare sempre la loro autenticità prima di intraprendere qualsiasi azione.
• Garantire che tutti i sistemi e i software siano sempre aggiornati.