Le campagne malware forniscono payload tramite un oscuro servizio pastebin

Le campagne malware forniscono payload tramite un oscuro servizio pastebin

Molteplici campagne di malware sono state individuate utilizzando servizi in stile Pastebin per facilitare le loro attività nefaste.

Invece di fornire il payload da un server Command-and-Control (C&C) dedicato, i siti Paste consentono agli aggressori di nascondere il proprio codice dannoso in bella vista.

Questa settimana Juniper Threat Labs ha identificato campagne di malware che si basano su servizi di incolla legittimi come  paste.nrecom.net  per ospitare il payload dannoso.

Questo servizio si basa su un'implementazione Pastebin open source chiamata Strikked ed è operativo dal 2014.

Payload binario codificato come testo normale

Sebbene il sito Paste supporti solo file di testo in chiaro e non binari, qualsiasi dato, incluso il binario, può essere codificato e rappresentato come ASCII.

Questo è ciò che il malware individuato da Juniper Threat Labs stava facendo in questo caso.

"Poiché è un servizio di solo testo, si potrebbe pensare che non possa ospitare un file eseguibile (dati binari)", ha affermato Paul Kimayong, un ricercatore di sicurezza presso Juniper Threat Labs.

"Tuttavia, i dati binari possono essere rappresentati come file di testo semplicemente codificandoli. Il metodo di codifica comune utilizza base64. Questo è esattamente ciò che hanno fatto gli attori della minaccia in questo caso", ha continuato.

Prima di essere codificato in base64, come mostrato sopra, il payload binario è stato sottoposto a una crittografia XOR, per aggiungere un livello di offuscamento.

L'offuscamento mediante operazioni XOR è una tecnica utilizzata per "rimescolare" i dati in modo da renderli difficili da decifrare senza conoscere la "chiave XOR" corretta.

Più campagne di malware

Le campagne malware che sfruttano il servizio Paste per distribuire il payload crittografato includono Agent Tesla, W3Cryptolocker Ransomware, Redline Stealer e LimeRAT.

"L'attacco di solito inizia con un'email di phishing che include un allegato, come un documento, un archivio o un eseguibile", spiega Kimayong.

Di seguito è riportato un esempio di e-mail di phishing inviata per indurre le vittime della campagna dell'agente Tesla a scaricare il file dannoso:

"Quando un utente viene indotto con l'inganno a installare l'allegato dannoso (prima fase), scarica le fasi successive da paste.nrecom.net . Abbiamo anche visto malware che ospitano i propri dati di configurazione nello stesso servizio."

L'utilizzo di servizi in stile Pastebin per ospitare codice dannoso crittografato in bella vista funziona a favore dell'attaccante poiché questi siti non possono essere facilmente bloccati dalla politica a causa dei loro casi d'uso legittimi.

Il consiglio di Juniper Threat Labs è di monitorare il traffico corrispondente al   sito Web paste.nrecom nel caso fosse dannoso. In particolare, i professionisti del Security Operations Center (SOC) dovrebbero fare attenzione ad attività sospette come dati binari con codifica base64 in transito.

I risultati completi di Juniper, gli indicatori di compromesso (IOC) e l'elenco delle campagne di malware sono forniti sul loro blog.

Posted on

Author L'autore

Dario Fadda alias {Nuke}

Da sempre appassionato di informatica e del mondo open-source nel 2003 ho fondato il portale Spcnet.it per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo dei computers, con particolare attenzione alle tematiche di Sicurezza informatica, Malware e Ransomware, ma anche guide di Programmazione e utili suggerimenti per tutte le fasce di interesse.
Dal 2006 sono membro del Gulch (Gruppo Utenti Linux Cagliari), con cui cerco di dare il mio contributo attivo per eventi e LinuxDay.
Su Twitter segnalo e condivido nuovi Phishing pericolosi con approfondimenti sul Bank Security.

Ho ideato Hacker Alert per effettuare ricerche di vulnerabilità e phishing in tempo reale.

Praticamente per tutto ciò che scopro e che è degno di nota ne condivido il codice sorgente su Git Hub.
Per tutto il resto c'è Dario Fadda .it che contiene "quasi" tutto di me.