Solitamente, quando a un esperto di sicurezza si chiedono alcuni suggerimenti per rimanere al sicuro sul Web, una delle cose più importanti che probabilmente vi dirà è di scaricare il software solo da fonti legittime. A volte anche un consiglio così semplice e ovvio potrebbe non essere sufficiente a scongiurare il pericolo di malware. ESET ha individuato tre applicazioni con funzionalità Trojan ospitate su download.cnet.com, che è uno dei siti per l’hosting di software più popolari al mondo come dimostra il suo rank Alexa (163°).
Crawsh, un utente di monero subreddit, è stato tra le vittime di uno di questi programmi, ma fortunatamente per lui, la sua storia ha avuto un lieto fine.
Per prima cosa ha notato qualcosa di anomalo quando ha provato a copiare e incollare il suo indirizzo Monero in un altro percorso, diversamente dal solito l’indirizzo improvvisamente ha iniziato a essere rifiutato perché non valido. Come utente consapevole ed esperto, ha rapidamente sospettato che fosse coinvolto un malware – e aveva ragione: dopo un’indagine su quale potesse essere la causa di tale malfunzionamento è riuscito a individuare un codice malevolo nel sistema. L’indirizzo del suo wallboard è stato intercettato negli appunti dal malware, durante la fase di copia, e sostituito con l’indirizzo bitcoin hardcoded del criminale. Fortunatamente per Crawsh, l’indirizzo sostituito è valido solo per bitcoin e inserire il suo indirizzo Monero lo ha reso non valido ed è stato rilevato dall’applicazione di destinazione prima che qualcuno dei suoi Monero fosse trasferito altrove – purtroppo questo non è stato il caso di molte altre vittime, fino ad oggi il malware infatti ha fruttato 8.8 BTC. Crawsh alla fine ha scritto un post con i dettagli sul suo caso, notato poi dai ricercatori di malware di ESET, che hanno iniziato le indagini per aiutare a far luce sul caso e hanno trovato rapidamente alcune informazioni molto interessanti.
Abbiamo scoperto che la fonte di infezione di Crawsh era un’applicazione Trojan Win32 Disk Imager scaricato da download.com, dove era presente sin dal 2 maggio 2016.
ESET rileva l’applicazione Trojan come una variante di MSIL/TrojanDropper.Agent.DQJ. Il programma è stato scaricato da CNET 311 volte solo nell’ultima settimana e in totale oltre 4500 volte.
Successivamente abbiamo scoperto che Win32 Disk Imager non è l’unica applicazione Trojan ospitata su download.com e conosciamo almeno altri 2 programmi degli stessi autori. Il primo è CodeBlocks, che è già stato bloccato da CNET e contiene la stessa payload MSIL/ClipBanker.DF. Code Blocks è un popolare IDE open source (Integrated Development Environment) utilizzato da molti sviluppatori C / C ++.
L’altro è MinGW-w64, che era ancora disponibile per il download all’inizio della nostra indagine. Contiene diverse payload dannose tra cui uno strumento per sottrarre bitcoin e un virus. MinGW è fondamentalmente una porta di GCC (GNU Compiler Collection) per Microsoft Windows.
Le statistiche di popolarità dei due sono le seguenti (informazioni direttamente dal sito download.com). Si noti che il numero di download CodeBlocks recenti è 0, perché è stato rimosso da CNET. Non conosciamo la data esatta della rimozione, ma i dati della nostra telemetria indicano che potrebbe essere stata a marzo 2017.
Dopo la notifica di ESET, CNET ha rimosso rapidamente queste applicazioni Trojan dal proprio sito web.
Dropper del Trojan (MSIL / TrojanDropper.Agent.DQJ)
Il primo stadio dell’applicazione Trojan è un dropper molto semplice, che estrae sia il legittimo programma di installazione di una determinata applicazione (Win32DiskImager, CodeBlocks, MinGw) sia la payload malevola dalle risorse, salva entrambi i file nella cartella% temp% e li esegue.
La payload è molto simile al dropper in termini di semplicità: il programma si copia nel percorso % appdata% \ Dibifu_8 \ go.exe e si aggiunge alla chiave di avvio automatico del registro per garantire la persistenza.
La sostituzione dell’indirizzo bitcoin negli appunti è ottenuta con un semplice codice 4-liner, che può essere visto sopra, che cerca un indirizzo bitcoin con una regex e lo sostituisce con l’indirizzo del wallet hardcoded degli hacker: 1BQZKqdp2CV3QV5nUEsqSg1ygegLmqRygj.
I criminali non si sono impegnati molto per nascondere le loro intenzioni, infatti anche i percorsi del simbolo di debug, quello del dropper e del ClipBanker mostrano chiaramente i loro scopi. Riteniamo che “SF to CNET” significhi SourceForce su CNET, perché tutte e tre le applicazioni presentano istanze pulite nella fase di archiviazione del codice sorgente.
C: \ Users \ Ngcuka \ Documents \ V \ SF su CNET \ Btc Clipboard Rig \ WindowsFormsApplication1 \ obj \ x86 \ Release \ WindowsFormsApplication1.pdb
Ci sono molti altri indicatori di infezione che le vittime potrebbero notare. Innanzitutto, la payload e il pacchetto Trojan vengono rilasciati sotto y3_temp008.exe risp. Win32DiskImage_0_9_5_install.exe nella directory temporanea ed eseguiti.
Un altro malware che sostituisce i wallet negli appunti (Win32/ClipBanker.DY)
La payload viene eliminata dall’applicazione Trojan MinGW-w64. È una variante leggermente più sofisticata che utilizza espressioni regolari simili per la ricerca del wallet:
Inoltre, contiene ulteriori componenti dannosi crittografati nelle risorse, insieme a circa 3500 indirizzi bitcoin dei criminali, che vengono utilizzati per sostituire gli indirizzi delle vittime con un indirizzo simile basato sui primi tre caratteri della chiave (tagliato nella figura)
Le payload aggiuntive inserite in questo bitcoin stealer hanno anche percorsi PDB. Uno di questi è: C: \ Users \ Ngcuka \ Documents \ V \ Flash Spreader \ obj \ x86 \ Release \ MainV.pdb . Il nome utente è identico a quello trovato nel percorso PDB del primo bitcoin stealer. Pertanto, siamo sicuri che tutti questi esempi di malware siano stati sviluppati dallo stesso autore.
Come pulire un sistema infetto
Eliminare i programmi di installazione scaricati chiamati win32diskimager.exe (SHA1: 0B1F49656DC5E4097441B04731DDDDDDD1717566) risp. codeblocks.exe (SHA1: 7242AE29D2B5678C1429F57176DDEBA2679EF6EB) resp. mingw-w64-install.exe (SHA1: 590D0B13B6C8A7E39558D45DFEC4BDE3BBF24918) dalla cartella di download
Rimuovere gli exe nella cartella% appdata% \ dibifu_8 \ (SHA1: E0BB415E858C379A859B8454BC9BA2370E239266)
Rimuovere y3_temp008.exe da% temp% \ folder (SHA1: 3AF17CDEBFE52B7064A0D8337CAE91ABE9B7E4E3, risp. C758F832935A30A865274AA683957B8CBC65DFDE)
Eliminare il valore del registro ScdBcd dalla chiave HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ Run
Durante il corso delle nostre indagini, abbiamo segnalato a CNET la presenza delle applicazioni Trojan, che poi sono state rapidamente rimosse dal loro sito Web, prevenendo ulteriori infezioni.
Se si ha il sospetto di essere stati infettati, installare una soluzione antimalware efficace in grado di rimuovere automaticamente i file pericolosi. Per evitare la sostituzione degli indirizzi negli appunti è opportuno ricontrollarli prima di effettuare le transazioni !!!
IoC
2 Comments