Le campagne malware forniscono payload tramite un oscuro servizio pastebin
7 Ottobre 2020 - Tempo di lettura: 10 minuti
Molteplici campagne di malware sono state individuate utilizzando servizi in stile Pastebin per facilitare le loro attività nefaste.
Invece di fornire il payload da un server Command-and-Control (C&C) dedicato, i siti Paste consentono agli aggressori di nascondere il proprio codice dannoso in bella vista.
Questa settimana Juniper Threat Labs ha identificato campagne di malware che si basano su servizi di incolla legittimi come paste.nrecom.net per ospitare il payload dannoso.
Questo servizio si basa su un'implementazione Pastebin open source chiamata Strikked ed è operativo dal 2014.
Payload binario codificato come testo normale
Sebbene il sito Paste supporti solo file di testo in chiaro e non binari, qualsiasi dato, incluso il binario, può essere codificato e rappresentato come ASCII.
Questo è ciò che il malware individuato da Juniper Threat Labs stava facendo in questo caso.
"Poiché è un servizio di solo testo, si potrebbe pensare che non possa ospitare un file eseguibile (dati binari)", ha affermato Paul Kimayong, un ricercatore di sicurezza presso Juniper Threat Labs.
"Tuttavia, i dati binari possono essere rappresentati come file di testo semplicemente codificandoli. Il metodo di codifica comune utilizza base64. Questo è esattamente ciò che hanno fatto gli attori della minaccia in questo caso", ha continuato.
Prima di essere codificato in base64, come mostrato sopra, il payload binario è stato sottoposto a una crittografia XOR, per aggiungere un livello di offuscamento.
L'offuscamento mediante operazioni XOR è una tecnica utilizzata per "rimescolare" i dati in modo da renderli difficili da decifrare senza conoscere la "chiave XOR" corretta.
Più campagne di malware
Le campagne malware che sfruttano il servizio Paste per distribuire il payload crittografato includono Agent Tesla, W3Cryptolocker Ransomware, Redline Stealer e LimeRAT.
"L'attacco di solito inizia con un'email di phishing che include un allegato, come un documento, un archivio o un eseguibile", spiega Kimayong.
Di seguito è riportato un esempio di e-mail di phishing inviata per indurre le vittime della campagna dell'agente Tesla a scaricare il file dannoso:
"Quando un utente viene indotto con l'inganno a installare l'allegato dannoso (prima fase), scarica le fasi successive da paste.nrecom.net . Abbiamo anche visto malware che ospitano i propri dati di configurazione nello stesso servizio."
L'utilizzo di servizi in stile Pastebin per ospitare codice dannoso crittografato in bella vista funziona a favore dell'attaccante poiché questi siti non possono essere facilmente bloccati dalla politica a causa dei loro casi d'uso legittimi.
Il consiglio di Juniper Threat Labs è di monitorare il traffico corrispondente al sito Web paste.nrecom nel caso fosse dannoso. In particolare, i professionisti del Security Operations Center (SOC) dovrebbero fare attenzione ad attività sospette come dati binari con codifica base64 in transito.
I risultati completi di Juniper, gli indicatori di compromesso (IOC) e l'elenco delle campagne di malware sono forniti sul loro blog.
