NanoCore RAT, campagna malspam distribuisce il payload tramite archivi .ZIPX

banner

Un’ondata di e-mail malevoli starebbe, eludendo i sistemi di sicurezza target, distribuendo il RAT NanoCore abusando del formato file .ZIPX.

L’obiettivo delle campagne malspam è quello di nascondere in modo efficace i payload malevoli dalla rilevazione antispam e antivirus, celandoli all’interno di file considerati convenzionalmente legittimi e attendibili. È in questo contesto che si inserisce la recente scoperta dei ricercatori di sicurezza informatica secondo cui un’ondata di e-mail malevoli starebbe, eludendo i sistemi di sicurezza target, distribuendo il RAT NanoCore abusando del formato file .ZIPX.

L’estensione .ZIPX è stata introdotta a partire dalla versione 12.1 di WinZip nel 2009 e viene associata ai formati file di tipo Extended ZIP Compressed Archive.

Tali tipi di file d’archivio vengono, solitamente, usati perché supportano algoritmi di compressione multipli mirati a ottenere una miglior compressione d’immagini, multimedia, testi o file binari.

Analisi campionaria

Le e-mail esaminate, provenienti da un sedicente responsabile acquisti afferente ad una organizzazione illecitamente impersonificata, propinano un allegato dal nome “NEW URGENT PURCHASE ORDER.pdf.zipx”, che in realtà, analizzato con un editor esadecimale, altro non è che un file binario contenente come extra dati un file icona riproducente il logo “pdf” e un archivio .RAR. Delle ulteriori prove eseguite dagli stessi ricercatori hanno dimostrato che tale allegato può essere decompresso solo tramite l’impiego delle utility WinRAR o 7Zip.

Tramite un file così strutturato e riconosciuto come legittimo e attendibile, gli attaccanti riuscirebbero, quindi, a eludere qualsiasi controllo da parte dei gateway di posta elettronica, nascondendo efficacemente un file .EXE malevolo.

L’analisi degli eseguibili decompressi e raccolti e che presentano un nome analogo a quello dell’archivio .ZIPX (“NEW URGENT PURCHASE ORDER.EXE”) avrebbe, infatti, rilevato che trattasi di esemplari del RAT noto come NanoCore nella sua versione 1.2.2.0.

Il RAT NanoCore

Apparso per la prima volta in natura nel 2013, questo tipo di Trojan di accesso remoto (RAT) che solitamente include funzionalità keylogger, infostealer, dropper e un protocollo di comunicazione di presidio C2, è stato spesso venduto nei forum darknet e diffuso attraverso campagne di phishing legate al settore finanziario.

Nella fattispecie questa variante identificata dagli Spiderlabs di Trustwave sarebbe, in particolare, capace di creare copie di se stesso nella cartella di sistema nascosta di Windows “AppData”, iniettare il codice malware nel processo RegSvcs.exe (strumento legittimo di Microsoft per l’installazione dei servizi .NET) e inviare i dati carpiti a due server di comando e controllo raggiungibili rispettivamente agli indirizzi “shtf [.] pw” e “uyeco [.] pw”.

Consigli di mitigazione

Come evidenziato dagli stessi ricercatori, questa tecnica di elusione è stata già adoperata in una simile campagna di phishing che nel 2019, tramite un file allegato con estensione .ZIPX, ha diffuso però il noto trojan bancario Lokibot, specializzato anche in furti di portafogli di criptovaluta.

Alla luce di quanto esposto e della possibile estensione ed evoluzione della campagna, si consiglia proattivamente agli amministratori di rete di valutare l’implementazione sui propri apparati di sicurezza degli IoC resi pubblici.

Allegati:

NEW PURCHASE ORDER.pdf.zipx (480092 byte)

SHA1: DF46A893B51D8ADE0CCDEF7E375FB387E2560720

New Purchase Order.pdf (2) .zipx (403050 byte)

SHA1: C93FBA54357E90235202F58DA1FEFF7

NanoCore RAT:

NEW PURCHASE ORDER.exe (635904 byte)

SHA1: E99F6B9BD787679666F8C54B9A834D6ACECFA622

New Purchase Order (3) .exe (431104 byte)

SHA1: FD958C365B6BFA5EF34779831773EC92C041A5D

ICT Expert & Information Security contributor

Related Posts

Ultime news

Agenzia_Cybersecurity_Gabrielli
Gabrielli