La campagna Duri diffonde malware tramite HTML e JavaScript

19 Agosto 2020 - Tempo di lettura: 14 minuti

Una nuova campagna di attacco utilizza una combinazione di tecniche di smuggling HTML e BLOB di dati per eludere il rilevamento e scaricare malware.

Soprannominata Duri, la campagna sfrutta il metodo blob JavaScript che genera il file dannoso nel browser web, evitando così il rilevamento da parte di sandbox e proxy.

"Le tradizionali soluzioni di sicurezza di rete come proxy, firewall e sandbox si basano sul trasferimento di oggetti in rete. Ad esempio, un sandbox potrebbe estrarre oggetti file come .exe, .zip e altri oggetti sospetti dal cavo e quindi inviare loro alla sandbox per la detonazione", si legge in un rapporto pubblicato da Menlo Security.

Tuttavia, Duri incorpora una tecnica speciale, nota come smuggling HTML.

A luglio, i ricercatori di Menlo Security hanno osservato un download sospetto bloccato dal loro browser web.

A uno sguardo più attento, hanno identificato l'origine del file non era un URL ma il risultato del codice JavaScript che contrabbandava un payload dannoso sul computer della vittima.

Cos'è il smuggling HTML?

Il smuggling HTML utilizza una combinazione di JavaScript, HTML5 e le sue tecnologie come "dati: " URL per generare il payload al volo e fornire download di file dall'interno del browser, piuttosto che un URL diretto che punta a un server. 

"Con Duri, l'intero payload è costruito sul lato client (browser), quindi nessun oggetto viene trasferito sulla rete per essere ispezionato dalla sandbox", afferma il rapporto di Menlo.

Per chi fosse interessato, Stan Hegt di Outflank, spiega perfettamente la tecnica.

Utilizzando un esempio di documento Word caricato con macro (.doc), Hegt ha dimostrato come il file possa essere generato interamente in JavaScript e come i sistemi di rilevamento basati sul perimetro che si basano esclusivamente sull'estensione del file non sospetterebbero che un file HTML sia dannoso.

Nel caso di Duri, quando l'utente fa clic sul collegamento fornito dall'autore dell'attacco, più reindirizzamenti lo conducono a una pagina HTML ospitata su  duckdns.org .

Questa pagina Web avvia quindi il codice JavaScript per generare un oggetto "blob" da una variabile con codifica base64 contenuta nello script. 

Sezionando il carico utile di Duri

Come mostrato, un file ZIP viene generato solo dal codice JavaScript. Al termine della sua esecuzione, lo script richiede il download di questo archivio nel browser web.

È interessante notare che ciò che è contenuto nello ZIP è un file MSI, che non è un nuovo payload.

Il rapporto di Menlo spiega:

"Il malware che Duri scarica non è nuovo. Secondo Cisco, in precedenza era stato distribuito tramite Dropbox, ma gli aggressori ora hanno sostituito Dropbox con altri provider di cloud hosting e si sono uniti alla tecnica del contrabbando di HTML per infettare gli endpoint."

I ricercatori hanno analizzato il file MSI e hanno scoperto un JScript offuscato.

Scavando più a fondo, i ricercatori hanno osservato che JScript svolgeva le seguenti azioni:

1. Si collega a un server remoto e scarica quella che sembra essere un'immagine, ma in realtà è un file ZIP camuffato da JPG (hxxp: // 104 [.] 214 [.] 115 [.] 159 / mod / input20 [ .] jpg).
2. Lo ZIP viene quindi estratto generando due eseguibili dall'aspetto innocuo: "Avira.exe" e "rundll.exe".
   I ricercatori hanno inoltre notato che "Avira.exe" estratto è firmato da Avira.
3. Entrambi i file vengono immediatamente rinominati con nomi casuali con l'estensione "rundll" modificata in ".bmp" (immagine bitmap).
4. Un file di collegamento di Windows (* .lnk) viene creato nella cartella% AppData% (roaming) che punta a "Avira.exe" ora chiamato in modo casuale
5. Per la persistenza ad ogni avvio, il malware crea una chiave di esecuzione automatica che porta a questo file di collegamento (* .lnk).
6. Infine, viene avviato un processo PowerShell per richiamare ulteriormente il file di collegamento (* .lnk).

I ricercatori si aspettano che queste tecniche evasive vengano incorporate anche nelle future iterazioni degli attacchi.

"Gli aggressori modificano costantemente le loro tattiche nel tentativo di eludere e aggirare le soluzioni di sicurezza, costringendo strumenti che si basano su un approccio di rilevamento e risposta per giocare sempre a recuperare. Riteniamo che il contrabbando di HTML sia una di queste tecniche che verrà incorporata nel l'arsenale degli aggressori e utilizzato più spesso per fornire il payload all'endpoint senza che le soluzioni di rete lo blocchino ", afferma Menlo Security.

Nel report vengono forniti l'analisi dettagliata dell'azienda della campagna Duri insieme all'approccio di rilevamento Zero Trust utilizzato e un lungo elenco di indicatori di compromesso (IoC) relativi alla campagna.