patrizio.tufarolo

Zeus Panda, tra i vettori di attacco c'è Google

Una recente campagna di attacco, avente come obiettivo la diffusione del noto trojan horse Zeus Panda, è stata caratterizzata da un meccanismo di diffusione basato sulla Search Engine Optimization: il SERP Poisoning

Roma - Alcuni esperti di Talos, gruppo di ricerca Cisco in ambito sicurezza informatica, in un interessante blog post hanno recentemente pubblicato i dettagli di una campagna di attacco da essi rilevata avente come obiettivo la diffusione del trojan bancario Zeus Panda, sfruttando tecniche di Search Engine Optimization (SEO).

Zeus Panda è un malware noto: derivato dal famoso banking trojan Zeus (trojan horse che colpisce gli home banking rubando le credenziali di accesso o automatizzando transazioni illecite), è stato individuato la prima volta a marzo del 2016 da Proofpoint.
Veniva scaricato sul sistema della vittima mediante documenti Microsoft Word inviati tramite email, sfruttando le vulnerabilità CVE-2014-1761 (corruzione della memoria e conseguente esecuzione di codice arbitrario tramite file RTF appositamente forgiati) e CVE-2012-0158 (esecuzione di codice arbitrario mediante controlli OCX appartenenti alla libreria MSCOMCTL.OCX, in Office 2003) e - in una successiva campagna di infezione - una macro Bartallex.

Successivamente, il trojan è stato incluso in svariati exploit kit, tra cui l'Angler Exploit Kit, il Nuclear Exploit Kit e il Neutrino Exploit Kit; è quindi riapparso nel mese di agosto 2017 colpendo sistemi nel Regno Unito e da Settembre anche italiani.
Nei giorni scorsi, infatti, la Polizia Postale ha rilasciato un comunicato riguardante una campagna di spear phishing basata sull'invio di email contenenti falsi bollettini F24, in apparenza inviate da parte dell'Agenzia delle Entrate ma contenenti in allegato proprio una variante di tale malware.
La campagna descritta da Talos, invece, oltre che da un'ulteriore variante di tale malware, presenta un differente vettore di attacco: il processo di infezione è infatti condotto sfruttando tecniche SEO per inquinare le pagine dei risultati delle ricerche Google (SERP, Search Engine Result Page) relative a parole chiavi comuni dell'ambito finanziario, inserendo riferimenti a siti malevoli.
Niente di eccessivamente sofisticato, sia chiaro: attacchi di questo tipo sono ben noti da tempo e costituiscono una minaccia che chi si occupa di SEO per professione conosce molto bene.




L'attaccante, generalmente, inizia a pubblicare pagine Web richiamanti contenuti e keyword riferiti ad uno specifico contesto, facendo così aumentare il ranking delle stesse su Google. Per ridurre notevolmente l'effort relativo all'indicizzazione, è possibile altresì che l'attaccante prenda di mira siti noti, già ben indicizzati, inserendo nel contenuto le keyword da inquinare; l'algoritmo di Mountain View farà poi il resto.

È proprio con tale modalità che avviene l'infezione in questo caso specifico: l'attaccante compromette siti Web aziendali con una reputazione alta e con un numero elevato di recensioni utente, inserendo nel codice HTML le keyword target.




Alcuni esempi di parole chiave utilizzate sono:

- "nordea sweden bank account number"
- "al rajhi bank working hours during ramadan"
- "how many digits in karur vysya bank account number"
- "free online books for bank clerk exam"
- "how to cancel a cheque commonwealth bank"
- "salary slip format in excel with formula free download"
- "bank of baroda account balance check"
- "bank guarantee format mt760"
- "free online books for bank clerk exam"
- "sbi bank recurring deposit form"
- "axis bank mobile banking download link"

Nell'analisi di Talos è emerso che i titoli delle pagine utilizzati per condurre tale attacco contengono anche altre stringhe come:

- "found download to on a forum"
- "found global warez on a forum"
- "can you download free on the site"
- "found download on on site"
- "can download on a forum"
- "found global downloads on forum"
- "info site download to on forum"
- "your query download on site"
- "found download free on a forum"
- "can all downloads on site"
- "you can open downloads on"

Nel momento in cui la vittima apre il sito infetto vengono effettuati molteplici reindirizzamenti per tentare l'esecuzione di codice malevolo: viene quindi richiamato uno script Javascript da un sito esterno, il quale a sua volta richiama un URL, che tramite redirect 302 avvia il download di un documento Word da un ulteriore sito di terze parti. L'aspetto grafico di tale documento invita l'utente ad abilitare l'esecuzione delle macro, che provvedono ad effettuare il download e l'esecuzione del malware tramite PowerShell.




Come rivelato da GData lo scorso agosto, Zeus/Panda è in grado di ispezionare l'ambiente nel quale viene eseguito, evitando la detonazione nel caso in cui venga lanciato in una sandbox o in una macchina virtuale; sono stati implementati infatti controlli specifici per VMware, VirtualPC, VirtualBox, Parallels, Sandboxie, SoftIce e Wine; ulteriori check vengono effettuati nel caso in cui sul sistema siano presenti strumenti di malware analysis come IDA, Process Monitor, Process Explorer, Process Hacker, RegShot e gli interpreti Python e Perl. Se anche solo uno di questi strumenti è presente, il malware si auto-elimina dal sistema mediante l'esecuzione di uno script batch.

Il valore aggiunto dell'analisi degli esperti di Cisco è senza dubbio dato dallo studio fatto sul meccanismo di attivazione del malware: l'intenzione è chiaramente quella di confondere gli analisti effettuando molte chiamate alle API del sistema operativo con parametri non validi e allocando strutture dati inutili, scompattando nel contempo il payload effettivo del malware, memorizzato in forma cifrata; il malware procede infatti nell'esecuzione patchando continuamente il proprio codice mediante l'utilizzo di un gestore delle eccezioni.
Ciascuna stringa del malware, inoltre, è crittografata mediante operazioni di XOR.
Per affrontare tale problematiche i ricercatori di Talos hanno utilizzato due script IDAPython (disponibili nel blogpost linkato); uno per commentare le chiamate alle API, l'altro per decriptare il payload.

Una volta scompattato completamente, l'eseguibile finale verrà scritto con nome casuale nella directory C:\Users\\AppData\Roaming\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\; la persistenza sarà garantita da una entry di esecuzione automatica nel registro di sistema al seguente percorso
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\, che conterrà come valore il percorso al binario sopra indicato.

I ricercatori, infine, hanno reso disponibili gli Indicator Of Compromise (IOC o più comunemente "indicatori di compromissione") che possono essere utilizzati per mitigare eventuali infezioni; ad ogni modo, le firme di questo nuovo malware sono state incluse nelle più note soluzioni per la prevenzione e la rilevazione delle intrusioni.

Patrizio Tufarolo
Notizie collegate
10 Commenti alla Notizia Zeus Panda, tra i vettori di attacco c'è Google
Ordina
  • Sono anni e anni che gli autori di malware utilizzano mezzi di SEO per far apparire i link a siti malevoli tra i primi risultati.
    non+autenticato
  • - come veicolo di infezione (a parte la cacatina delle SERP per farsi trovare) usa un documento di word che il tizio deve scaricare e aprire. Il quale poi gli dice "no scusa non si vede niente. abilita le macro"... non proprio per volpi insommaSorride
    - se hai procexplorer o wireshark installati (io sempre) si autoelimina
    - dall'analisi di taols sembra anche che RISPETTI IL VINTAGE...
    volendo copiarsi e attivarsi andando qui C:\Users\<Username>\AppData\xxx e qui C:\Users\<Username>\AppData\Roaming\Macromedia\Flash Player , sbrocca se hai XP o win2003Sorride
    non+autenticato
  • Per il discorso documento Word, l'utente ci casca, soprattutto se la sua intenzione è quella di "vedere" un determinato contenuto (ovvero: sono andato a cercare informazioni sulla banca di mio interesse, e mi si è scaricato un documento "protetto"). Per il secondo punto, si, per rendere difficile l'analisi. Per il terzo punto... beh da quanto detto da Talos non è chiaro. Se usasse l'alias %APPDATA% per riferirsi alla Roaming, funzionerebbe bene anche su XP. Deduco che il path sia stato dedotto monitorando i cambiamenti del file system durante l'esecuzione del malware in sandbox
  • premesso che facevo un po' di sarcasmo... visto che zeus bank in se non e' molto gentile ...Sorride
    - Scritto da: Patrizio Tufarolo
    > Per il discorso documento Word, l'utente ci
    > casca, soprattutto se la sua intenzione è quella
    > di "vedere" un determinato contenuto (ovvero:
    > sono andato a cercare informazioni sulla banca di
    > mio interesse, e mi si è scaricato un documento
    > "protetto").
    beh si certo.. il trucco e' proprio quello... ma e' ben frusto pero'... erano assai peggio gli exploit (vecchi) che citavi... li' l'user puo fare poco..

    > Per il secondo punto, si, per
    > rendere difficile l'analisi.
    pero' e' carino che si autotolga dai piedi...Sorride

    > Per il terzo
    > punto... beh da quanto detto da Talos non è
    > chiaro. Se usasse l'alias %APPDATA% per riferirsi
    > alla Roaming, funzionerebbe bene anche su XP.
    > Deduco che il path sia stato dedotto monitorando
    > i cambiamenti del file system durante
    > l'esecuzione del malware in
    > sandbox
    potrebbe essere... ma siccome il crapware e' ciucciato via powershell... e che su xp/2003 non era certo abitudine averli...
    non+autenticato
  • - Scritto da: bubba
    > premesso che facevo un po' di sarcasmo... visto
    > che zeus bank in se non e' molto gentile ...
    >Sorride
    > - Scritto da: Patrizio Tufarolo
    > > Per il discorso documento Word, l'utente ci
    > > casca, soprattutto se la sua intenzione è quella
    > > di "vedere" un determinato contenuto (ovvero:
    > > sono andato a cercare informazioni sulla banca
    > di
    > > mio interesse, e mi si è scaricato un documento
    > > "protetto").
    > beh si certo.. il trucco e' proprio quello... ma
    > e' ben frusto pero'... erano assai peggio gli
    > exploit (vecchi) che citavi... li' l'user puo
    > fare
    > poco..
    >
    > > Per il secondo punto, si, per
    > > rendere difficile l'analisi.
    > pero' e' carino che si autotolga dai piedi...Sorride
    >
    > > Per il terzo
    > > punto... beh da quanto detto da Talos non è
    > > chiaro. Se usasse l'alias %APPDATA% per
    > riferirsi
    > > alla Roaming, funzionerebbe bene anche su XP.
    > > Deduco che il path sia stato dedotto monitorando
    > > i cambiamenti del file system durante
    > > l'esecuzione del malware in
    > > sandbox
    > potrebbe essere... ma siccome il crapware e'
    > ciucciato via powershell... e che su xp/2003 non
    > era certo abitudine
    > averli...

    Gira e rigira, il succo e' sempre quello.

    Se versi acqua in uno scolapasta, questa passa attraverso con facilita'.

    Se invece la versi in una pentola con il fondo spesso, in acciaio linux, non passa niente.
  • > potrebbe essere... ma siccome il crapware e'
    > ciucciato via powershell... e che su xp/2003 non
    > era certo abitudine
    > averli...

    hai ragione! anche in questo caso sarebbe da capire se sia stata riportata solo la Macro per W7/WS2008+ (e quindi se sia presente un downloader differente per le versioni vecchie di windows), o se chi sta mandando in giro questo DOC ha deciso di deprecare la compatibilità con le versioni vecchieCon la lingua fuori
  • L'articolo è fatto bene, ma il titolo e la tesi iniziale non è che siano così precise. Google è un mezzo per attirare le vittime, ma il trojan infetta usando alcune vulnerabilità del browser/sistema operativo.
    non+autenticato
  • CiaoSorride Ti ringrazio del commento, però non ho capito l'obiezione. Il senso del titolo e dell'articolo è sottolineare come, dall'analisi di Talos, è emerso che il suddetto malware abbia adottato anche il SERP poisoning come metodo di propagazione. Nell'istanza specifica inoltre non viene inoltre fatta leva su nessuna vulnerabilità in quanto l'attacco avviene tramite social engineering presentando un documento Word formattato ad-hoc. Potresti essere più chiaro? Un saluto
  • - Scritto da: Patrizio Tufarolo
    > CiaoSorride Ti ringrazio del commento, però non ho
    > capito l'obiezione. Il senso del titolo e
    > dell'articolo è sottolineare come, dall'analisi
    > di Talos, è emerso che il suddetto malware abbia
    > adottato anche il SERP poisoning come metodo di
    > propagazione.

    Che non è niente di straordinario. SEO è usata normalmente da tanti che lavorano sul web, mi ricordo un paio di anni fa il boom degli aggregatori di prezzi che spammavano tutte le ricerche di google finché non hanno deciso di declassarli tutti. Il fatto che anche gli sviluppatori di malware usino SEO per aumentare la visibilità non stupisce.

    > Nell'istanza specifica inoltre non
    > viene inoltre fatta leva su nessuna vulnerabilità
    > in quanto l'attacco avviene tramite social
    > engineering presentando un documento Word
    > formattato ad-hoc. Potresti essere più chiaro? Un
    > saluto

    Hmm, hai ragione, tecnicamente non è una vulnerabilità, ma è quel caso dove ti chiedi se è un bug o una feature. Do per scontato che il download del file word viene fatto o in Downloads o nei files temporanei di internet (se veramente è stato scaricato senza un presentare un menu all'utente). Permettere di attivare le macro ad un file di word lanciato da una directory temporanea decisamente non è una grande idea.
    non+autenticato
  • - Scritto da: 0cf505c1623
    > - Scritto da: Patrizio Tufarolo
    > > CiaoSorride Ti ringrazio del commento, però non ho
    > > capito l'obiezione. Il senso del titolo e
    > > dell'articolo è sottolineare come, dall'analisi
    > > di Talos, è emerso che il suddetto malware abbia
    > > adottato anche il SERP poisoning come metodo di
    > > propagazione.
    >
    > Che non è niente di straordinario. SEO è usata
    > normalmente da tanti che lavorano sul web, mi
    > ricordo un paio di anni fa il boom degli
    > aggregatori di prezzi che spammavano tutte le
    > ricerche di google finché non hanno deciso di
    > declassarli tutti. Il fatto che anche gli
    > sviluppatori di malware usino SEO per aumentare
    > la visibilità non
    > stupisce.

    Il tono dell'articolo non è sensazionalistico, infatti ciò che dici l'ho sottolineato.

    >
    > > Nell'istanza specifica inoltre non
    > > viene inoltre fatta leva su nessuna
    > vulnerabilità
    > > in quanto l'attacco avviene tramite social
    > > engineering presentando un documento Word
    > > formattato ad-hoc. Potresti essere più chiaro?
    > Un
    > > saluto
    >
    > Hmm, hai ragione, tecnicamente non è una
    > vulnerabilità, ma è quel caso dove ti chiedi se è
    > un bug o una feature. Do per scontato che il
    > download del file word viene fatto o in Downloads
    > o nei files temporanei di internet (se veramente
    > è stato scaricato senza un presentare un menu
    > all'utente). Permettere di attivare le macro ad
    > un file di word lanciato da una directory
    > temporanea decisamente non è una grande
    > idea.
    Di fatto Word le macro le blocca, se l'utente clicca "consenti" che ci vuoi fare? Ben più grave sarebbe la presenza di una vulnerabilità come quelle sfruttate nel passato