Proprio in questo periodo, prima delle festività natalizie, il famigerato cavallo di Troia ha preso di mira gli utenti italiani ed è pronto a colpire con nuove e pericolose funzionalità.
DanaBot infatti sembra non appartenere più soltanto alla categoria dei Trojan bancari. Secondo l’ultima ricerca ESET, i suoi autori hanno aggiunto al pericoloso malware una nuova funzione per la raccolta di indirizzi email e l’invio di messaggi spam, che è in grado di utilizzare illegalmente gli account webmail delle vittime.
Oltre alle nuove funzionalità, abbiamo trovato alcuni indizi che legano gli operatori di DanaBot ai criminali autori del GootKit, un altro Trojan avanzato – comportamento atipico tra gruppi altrimenti indipendenti.
Invio di spam dalle caselle di posta delle vittime
Dalla nostra analisi risulta siano stati utilizzati diversi oggetti per il reindirizzamento degli utenti verso alcune webmail italiane, come parte della campagna di diffusione di DanaBot in Europa rilevata a settembre 2018.
Secondo la nostra ricerca, il JavaScript inserito nelle pagine dei servizi webmail interessati presenta due caratteristiche principali:
- DanaBot raccoglie indirizzi email dalle caselle postali delle proprie vittime, iniettando uno script dannoso nelle pagine Web di questi servizi webmail dopo la fase di autenticazione dell’utente, successivamente tale codice analizzerà i messaggi contenuti nell’account e invierà tutti gli indirizzi a un server C & C.
- Se il servizio di webmail interessato è basato sulla suite Open-Xchange, ad esempio il popolare servizio di posta elettronica italiano libero.it, DanaBot inietta anche uno script che ha la possibilità di utilizzare la casella di posta della vittima per inviare spam indirettamente agli indirizzi email raccolti.
Le email dannose vengono inviate come risposte a email reali trovate nelle mailbox compromesse, facendo sembrare che siano effettivamente i proprietari delle caselle postali a spedirle. Inoltre, le email dannose inviate dagli account configurati per inviare messaggi firmati avranno firme digitali valide.
È interessante notare come i criminali siano particolarmente interessati agli indirizzi email contenenti la sottostringa “pec”, che si trova negli indirizzi “posta elettronica certificata” specifici per l’Italia. Ciò potrebbe indicare che gli autori di DanaBot si stiano concentrando su obiettivi aziendali e di pubblica amministrazione che sono più propensi a utilizzare questo servizio di certificazione.
Le email includono allegati ZIP, pre-scaricati dal server dei truffatori, contenenti un file PDF falsoe un file VBS dannoso. L’esecuzione del file VBS porta al download di un ulteriore malware utilizzando un comando di PowerShell.
Figura 3 – Codice che crea una email e aggiunge un allegato ZIP dannoso
Attualmente queste nuove funzionalità malevole sono destinate a colpire solo obiettivi italiani, in fondo a questo articolo abbiamo inserito un elenco di tutti i servizi interessati.
Collegamenti tra DanaBot e GootKit
Dopo aver analizzato il file VBS dannoso disponibile sul server C & C di DanaBot, abbiamo scoperto che punta a un modulo downloader per GootKit, un Trojan avanzato e furtivo utilizzato principalmente per frodi bancarie. Il file VBS pericoloso sembra essere generato automaticamente ed è diverso perogni accesso.
Questi indizi ci portano per la prima volta a collegare direttamente DanaBot alla distribuzione di altri malware. Fino ad ora, si credeva che il DanaBot fosse gestito da un singolo gruppo chiuso. Allo stesso modo anche il GootKit si credeva fosse uno strumento privato, mentre ora queste prove indicano che venga venduto nel dark Web e gestito da più gruppi. È interessante notare che recentemente abbiamo rilevato un’altra istanza di GootKit diffusa da altri malware, in particolare dal famigerato Trojan Emotet nelle sue ultime campagne distribuite durante il periodo del Black Friday e del Cyber Monday.
Oltre alla presenza di GootKit sui server utilizzati da DanaBot, abbiamo trovato ulteriori collegamenti che suggeriscono una collaborazione tra gli operatori di DanaBot eGootKit.
Innanzitutto, la telemetria ESET èstata in grado di collegare l’attività GootKit a un server C & C e a un dominio di primo livello (TLD) utilizzati anche da DanaBot. DanaBot utilizza molti indirizzi IP e reindirizzamenti della sottorete 176.119.1.0/24 per il suo server C & C (vedere IoC). Mentre i nomi di dominio DanaBot cambiano ogni pochi giorni, .co è il loro TLD più comune (ad esempio egnacios [.] Co, kimshome [.] Co,ecc.). Gli esempi di GootKit scaricati dalla payload malevola sul C &C di DanaBot avevano funetax [.] Co e reltink [.] Co come i loro C &C. Entrambi risolti per 176.119.1.175.
In secondo luogo, i domini di DanaBot eGootKit condividono anche la stessa piattaforma di registrazione, ovvero Todaynic.com Inc, e lo stesso server DNS, dnspod.com.
Infine, nella settimana iniziata il 29 ottobre 2018, la telemetria di ESET ha mostrato una significativa diminuzione della distribuzione di DanaBot in Polonia che ha coinciso con un picco di attività di GootKit in Polonia. Durante questo periodo il GootKit è stato diffuso utilizzando lo stesso metodo di distribuzione di DanaBot nelle sue recenti campagne polacche.
Similitudini con altre famiglie di malware
Durante l’analisi di DanaBot, abbiamo anche notato che parte della configurazione di DanaBot ha una struttura già vista in altre famiglie di malware, ad esempio Tinba o Zeus. Ciò consente agli sviluppatori di utilizzare script di webinject simili o persino riutilizzare script di terze parti.
È interessante notare che alcuni script sono quasi identici agli script usati dal trojan BackSwap , incluse le convenzioni di denominazione e la posizionedello script sul server.
Conclusione
La nostra ricerca mostra che DanaBot haun raggio di azione molto più ampio rispetto a un tipico Trojan bancario, con i suoi autori che aggiungono regolarmente nuove funzionalità, testano nuovi vettori di distribuzione e quando possibile collaborano con altri gruppi di criminali informatici.
I sistemi ESET rilevano e bloccano sia DanaBot che GootKit.
Come difendersi?
DanaBot sta ingannando numerosi utenti grazie alla capacità di rispondere a messaggi legittimi e all’utilizzo di testi email piuttosto plausibili. Per non cadere nella trappola del DanaBot durante gli acquisti natalizi e trascorrere le prossime festività in tutta tranquillità, gli esperti ESET hanno preparato 5 semplici consigli per tutti gli italiani:
1. Massima prudenza durante la navigazione online
Il primo consiglio potrebbe sembrare banale, ma non lo è affatto; il fattore umano è considerato infatti a ragione l’anello debole del processo di sicurezza ed è quindi sempre estremamente importante usare attenzione e prudenza durante la navigazione on-line e nel leggere le email. Ad esempio, mai cliccare in automatico su link (anche sui social media), scaricare file o aprire allegati email, anche se sembrano provenire da una fonte nota e attendibile.
2. Attenzione ai link abbreviati
È importante fare attenzione ai collegamenti abbreviati, in particolare sui social media. I criminali informatici spesso utilizzano questo tipo di stratagemma per ingannare l’utente, facendogli credere che sta cliccando su un link legittimo, quando in realtà è stato pericolosamente dirottato verso un sito fasullo.
Si consiglia di posizionare sempre il mouse sul link per vedere se questo effettivamente punta al sito di interesse o se al contrario potrebbe indirizzare verso altre destinazioni pericolose.
I criminali informatici possono usare questi siti ‘falsi’ per rubare i dati personali inseriti o per effettuare un attacco drive-by-download, infettando il dispositivo con dei malware.
3. Dubbi su un messaggio di posta? Leggerlo di nuovo!
Le email di phishing sono spesso evidenti e identificarle è abbastanza facile. Nella maggior parte dei casi presentano infatti molti errori di battitura e punteggiatura, parole interamente scritte in maiuscole e vari punti esclamativi inseriti a caso nel testo. Inoltre hanno spesso un tono impersonale e saluti di carattere generico, tipo ‘ Gentile Cliente‘, seguiti da contenuto non plausibile o fuori contesto.
I cybercriminali spesso commettono errori in queste email, a volte anche intenzionalmente per superare i filtri anti-spam dei provider.
4. Diffidare dalle minacce e dagli avvisi di scadenze imminenti
Molto raramente gli enti pubblici o le aziende importanti richiedono agli utenti un intervento urgente. Di solito le minacce e l’urgenza – soprattutto se provenienti da aziende estremamente famose – sono un segno di phishing. Alcune di queste minacce possono includere le comunicazioni su una multa, o il consiglio a bloccare il proprio conto.
5. Maggiore attenzione se si utilizza uno dei servizi webmail interessati
Consultare il seguente elenco dei servizi esposti a rischio e prima di autenticarsi alla webmail verificare il proprio dispositivo con una soluzione antimalware efficace e adeguatamente aggiornata, evitare di accedervi se non si è certi dell’affidabilità del proprio sistema.
Riportiamo di seguito i servizi di webmail destinati alla funzione di raccolta degli indirizzi email:
Qualsiasi servizio basato su Roundcube
Qualsiasi servizio basato su Horde
Qualsiasi servizio basato su Open-Xchange
aruba.it
bluewin.ch
email.it
gmx.net
libero.it
mail.yahoo.com
mail.google.com
mail.one.com
outlook.live.com
tecnocasa.it
tim.it
tiscali.it
vianova.it
Servizi di webmail destinati alla funzione di invio di spam
Qualsiasi servizio basato su Open-Xchange
Indicatori di compromissione (IoC)
Domini utilizzati dal file VBS per scaricare malware (GootKit al momento della scrittura)
job.hitjob [.] it
vps.hitjob [.] it
pph.picchio-Intl [.] com
dcc.fllimorettinilegnaegiardini [.] it
icon.fllimorettinilegnaegiardini [.] it
team.hitweb [.] it
latest.hitweb [.] it
amd.cibariefoodconsulting [.] it
Domini di esempio usati dal modulo downloader di GootKit
vps.cibariefoodconsulting [.] it
ricci.bikescout24 [.] fr
drk.fm604 [.] com
gtdspr [.] lo spazio
it.sunballast [.] de
Server DanaBot C & C attivi (al 6 dicembre 2018)
5.8.55 [.] 205
31.214.157 [.] 12
47.74.130 [.] 165
149.154.157 [.] 106
176.119.1 [.] 99
176.119.1 [.] 100
176.119.1 [.] 120
176.119.1 [.] 176
176.223.133 [.] 15
185.254.121 [.] 44
188.68.208 [.] 77
192.71.249 [.] 50
1 Commento