Il malware subdolo si nasconde dietro il movimento del mouse, dicono gli esperti

I ricercatori del fornitore di sicurezza FireEye hanno scoperto una nuova minaccia persistente avanzata (APT) che utilizza tecniche di evasione di rilevamento multiple, incluso il monitoraggio dei clic del mouse, per determinare l'interazione umana attiva con il computer infetto.

Chiamato Trojan.APT.BaneChant, il malware viene distribuito tramite un documento Word truccato con un exploit inviato durante attacchi e-mail mirati. Il nome del documento si traduce in "Jihad Islamica.doc".

"Sospettiamo che questo documento armato sia stato utilizzato per colpire i governi del Medio Oriente e dell'Asia centrale", ha detto lunedì il ricercatore di FireEye Chong Rong Hwa in un post sul blog.

[Ulteriori letture: Come rimuovere malware dal PC Windows]

Attacco multistadio

L'attacco funziona in più fasi. Il documento dannoso scarica ed esegue un componente che tenta di determinare se l'ambiente operativo è virtualizzato, come una sandbox antivirus o un sistema di analisi malware automatizzato, in attesa di vedere se c'è attività del mouse prima di iniziare la seconda fase di attacco.

Il monitoraggio tramite clic del mouse non è una nuova tecnica di evasione del rilevamento, ma il malware che lo utilizzava in passato controllava generalmente un singolo clic del mouse, ha detto Rong Hwa. BaneChant attende almeno tre clic del mouse prima di procedere a decrittografare un URL e scaricare un programma backdoor che si maschera da file immagine.jpg, ha detto.

Il malware utilizza anche altri metodi di evasione di rilevamento. Ad esempio, durante la prima fase dell'attacco, il documento dannoso scarica il componente dropper da un URL ow.ly. Ow.ly non è un dominio malevolo, ma è un servizio di abbreviazione degli URL.

La logica alla base dell'utilizzo di questo servizio consiste nell'escludere i servizi di lista nera degli URL attivi sul computer di destinazione o sulla sua rete, ha detto Rong Hwa. (Vedi anche "Gli spammer abusano del servizio di abbreviazione degli URL.gov nelle truffe work-at-home."

Analogamente, durante la seconda fase dell'attacco, il file.jpg dannoso viene scaricato da un URL generato con la dinamica No-IP Servizio DNS (Domain Name System)

Dopo essere stato caricato dal primo componente, il file.jpg rilascia una copia di se stesso chiamata GoogleUpdate.exe nella cartella "C: ProgramData Google2 \". Crea anche un collegamento al file nella cartella di avvio dell'utente per assicurarne l'esecuzione dopo ogni riavvio del computer.

Si tratta di un tentativo di indurre gli utenti a credere che il file faccia parte del servizio di aggiornamento di Google, un programma legittimo normalmente installato sotto "C: Programmi Google Update \", ha detto Rong Hwa.

Il programma backdoor raccoglie e carica le informazioni di sistema su un server di comando e controllo e supporta diversi comandi, tra cui uno per scaricare ed eseguire file aggiuntivi sui computer infetti.

Con l'avanzare delle tecnologie di difesa, anche il malware e volves, ha detto Rong Hwa. In questo caso, il malware ha utilizzato una serie di trucchi, tra cui l'elusione dell'analisi sandbox rilevando il comportamento umano, eludendo la tecnologia di estrazione binaria a livello di rete eseguendo la crittografia XOR multibyte di file eseguibili, mascherandosi come processo legittimo, eludendo l'analisi forense utilizzando fileless Ha aggiunto che il codice maligno viene caricato direttamente nella memoria e impedisce la blacklist del dominio automatizzata utilizzando il reindirizzamento tramite abbreviazione URL e servizi DNS dinamici.