Silent Night è un nuovo trojan bancario Zloader / Zbot sofisticato e fortemente offuscato
28 Maggio 2020 - Tempo di lettura: 14 minuti
Nel marzo 2020, sia FireEye che IBM hanno segnalato una campagna malevola indirizzata a schemi di protezione finanziaria COVID-19. FireEye ha definito il payload del malware "SILENTNIGHT"; IBM l'ha descritta come una variante ZeuS Sphinx / Terdot. Insieme hanno ragione. Silent Night è un nuovo derivato ZeuS, attualmente offerto con il modello malware-as-a-service (MaaS).
Malwarebytes (PDF) e HYAS hanno pubblicato congiuntamente un'analisi dettagliata di questo nuovo malware. La versione 1.0 di Silent Night è stata compilata a novembre 2019. All'incirca nello stesso periodo, è stata offerta in vendita sul forum underground russo, forum.exploit [.] Da un venditore noto come Ax. Ax lo rivendica come proprio trojan bancario e afferma di aver trascorso più di 5 anni a svilupparlo. Ma mentre questo è certamente una novità, l'analisi Malwarebytes / HYAS dimostra il suo debito sia con ZeuS originale sia con derivati più recenti come Terdot.
Il prezzo è alto per MaaS: $ 4.000 al mese per una build unica; $ 2000 al mese per la build generale; e $ 500 solo per testarlo per 14 giorni. In generale, MaaS viene utilizzato per attirare l'enorme mercato di hacker meno esperti o aspiranti con un malware supportato a basso costo e facile da usare, fornendo allo stesso tempo allo sviluppatore un flusso di entrate costante. Gli infostealer sono offerte MaaS comuni.
Con un prezzo di $ 4.000 al mese, Ax sembra puntare su un mercato diverso - forse il minor numero di bande organizzate meglio finanziate con una distribuzione pronta e infrastrutture di riciclaggio che desiderano ancora utilizzare malware di base, ma sofisticato. È già stato visto abbandonato dal kit di exploit RIG e utilizzato in una campagna di spam COVID-19 destinata a Stati Uniti, Canada e Australia con documenti Word ben congegnati. Una campagna più recente utilizza fogli Excel con macro incorporate, mentre un'altra utilizza uno script VBS allegato.
Una caratteristica distintiva di Silent Night è l'estensione del suo offuscamento. Utilizza un offuscatore appositamente sviluppato che trasforma tutto il codice e crittografa le stringhe e tutti i valori costanti all'interno del codice. L'output, affermano i ricercatori, è un codice molto confuso senza alcun grave effetto sulle prestazioni. "La decrittazione delle linee avviene al volo su richiesta, che verrà temporaneamente memorizzata in pila", scrivono i ricercatori.
"La decrittazione di valori costanti si verifica anche al volo, per ognuno dei quali ha la sua funzione unica di decrittazione... Quindi, con ogni assieme otteniamo un file univoco e qualsiasi firma verrà eliminata con un clic."
I ricercatori hanno anche trovato un manuale utente di Silent Night, che ha fornito loro informazioni sulle diverse funzionalità del malware. È interessante notare che i ricercatori hanno trovato un elenco di comandi disponibili incorporati in uno dei moduli. Questo elenco include tutti i comandi descritti nel manuale dell'utente, ma con alcuni extra, come il recupero dei file e il recupero delle password. L'implicazione è che Ax sta continuando a sviluppare ed estendere le capacità del malware.
L'attacco inizia con il caricatore Silent Night, più comunemente consegnato come allegato. Se il modello MaaS Silent Night viene ampiamente utilizzato dalle bande criminali, molto probabilmente vedremo ulteriori metodi di distribuzione. Quando eseguito, esegue msiexec e si inietta lì. Il caricatore quindi recupera il bot Silent Night dal server C2 o dalla memoria locale e lo inietta nella stessa istanza di msiexec .
Le principali funzionalità del bot includono un server VNC, un proxy locale man-in-the-browser e funzionalità di furto. Il server VNC fornisce all'aggressore l'accesso remoto e viene eseguito in background mentre il malware è operativo.
La funzionalità man-in-the-browser fornisce sia formgrabbing che webinject. Il malware installa il proprio certificato falso ed esegue un proxy locale.
Il bot può anche funzionare come un ladro classico. Uno dei thread della funzione principale è responsabile del furto di cookie, credenziali e file salvati. Tuttavia, i comandi accumulati in questo thread possono anche essere eseguiti separatamente, su richiesta, distribuendo comandi remoti dedicati.
Silent Night è ben scritto con un design modulare migliorato rispetto ai derivati ZeuS precedenti (come Terdot), piuttosto che rivoluzionario.
"A parte l'offuscatore personalizzato", affermano i ricercatori, "non c'è molta novità in questo prodotto. La Silent Night non cambia il gioco, ma solo un altro Trojan bancario basato su ZeuS."
Detto questo, vale la pena ricordare che l'offuscatore crea effettivamente un nuovo codice ogni volta che viene utilizzato. Potrebbe trattarsi di "un altro Trojan bancario", ma non è facilmente riconoscibile dal solo rilevamento delle firme.
