BluStealer, un malware di tipo infostealer, si sta diffondendo anche in Italia. Nella variante rilevata e analizzata dal CERT-AgID, il malware mira a esfiltrare le credenziali da quasi 40 applicazioni (tra cui VPN, FTP, browser, client di posta), le informazioni delle carte di credito salvate nei browser, i messaggi di posta elettronica scaricati e i contatti della rubrica di alcuni client di posta.
La email con oggetto “Bonifici (SWIFT)” che questa settimana ha raggiunto le caselle di posta di diversi utenti italiani, riporta una comunicazione che apparentemente sembra provenire dall’Istituto di Credito Relax Banking. Nel corpo del messaggio è riportata l’anteprima miniaturizzata di due file PDF. Le vittime sono quindi spinte a cliccare su tali anteprime con l’intenzione di leggere i documenti ma in realtà vengono indirizzate ad un link per il download di un file ISO dal quale, una volta aperto, partirà l’infezione che porta all’installazione di BluStealer.
Inoltre, al fine di frodare le vittime per indurlo a effettuare pagamenti indesiderati, il malware sostituisce gli indirizzi dei portafogli di criptovalute, ogni volta che questi sono copiati, con portafogli propri, facendo sì che dalle macchine infette i pagamenti arrivino agli autori della campagna malware e non ai destinatari voluti. Le informazioni carpite vengono inoltrate via email agli autori della campagna malevola.
Il messaggio di posta risulta inviato da una macchina ospitata su un servizio localizzato negli USA, che nulla ha a che vedere con l’Istituto di Credito e le miniature mostrate all’interno del messaggio raffiguranti l’anteprima dei due PDF, altro non sono che una immagine con un link che punta al download di un archivio ISO che risulta essere stato creato il giorno stesso.
Il CERT-AGID spiega che all’interno del contenitore ISO è presente un file denominato “Ref407582” con l’icona raffigurante la miniatura di un documento e la data di creazione identica a quella dell’archivio ISO. Il file in questione non è un documento ma un eseguibile EXE scritto in .NET. L’icona utilizzata è solo un’ulteriore esca per convincere la vittima a cliccarci su per aprirlo. A questo punto ha inizio la vera e propria compromissione del sistema.
La caratteristica principale di questo malware è quella di essere scritto in Visual Basic 6.0, una tecnologia risalente al 1998. Contrariamente ad alcuni packer (es: GuLoader) che utilizzano eseguibili VB6 come “gusci”, il cui unico scopo è nascondere lo shellcode malevolo, BluStealer è veramente scritto interamente in VB6.
Prima di rubare i dati dalle applicazioni delle vittime, BluStealer effettua un controllo antivm e antidebug (oltre a controllare che non vi siano altre istanze in esecuzione):
- Controlla che il nome del proprio eseguibile, una volta rimossa l’estensione, sia composto da soli caratteri esadecimali (Il controllo è fatto in CheckSelfName ma il codice decompilato ha perso gran parte dell’informazione necessaria: infatti viene utilizzato un array con i caratteri validi che è composto a runtime tramite constanti e delle stringhe offuscate e queste operazioni non sono decompilate correttamente).
- Controlla che non siano in esecuzione i seguenti processi: fiddler, vxstream, tcpview, procexp, vmtools, autoit, wireshark, procmon, idaq, autoruns, apatedns, windbg. Si tratta di strumenti di debug o monitoraggio. La lista dei processi è ottenuta tramite la query WMI Select * from Win32_Process.
- Controlla che la macchina disponga dei seguenti requisiti hardware: Almeno un disco da 60GiB, almeno 1GiB di memoria RAM e almeno 2 CPU.
Se è installato uno o più dei seguenti portafogli di criptovalute, questi sono copiati dentro la cartella CryptoWallets nell’area di lavoro, cartella che è successivamente zippata in CryptoWallets.zip e che verrà inviata ai criminali via email (sia immediatamente che periodicamente dal ciclo principale). I portafogli interessati sono: Zcash, Armory, bytecoin, Jaxx Liberty, Exodus, Ethereum, Electrum, Atomic, Guarda, Coinomi.
Oltre ai portafogli, BluStealer è in grado di rubare le credenziali e le carte di credito salvate nei seguenti browser: Chrome, Opera, Yandex Browser, 360Chrome, Comodo Dragon, ChromePlus, Chromium, Torch, Brave Browser, Iridium, 7Star, Amigo, CentBrowser, Chedot, CocCoc, Elements Browser, Epic Privacy Browser, Kometa, Orbitium, Sputnik, Uran, Vivaldi, Sleipnir5, Citrio, Coowon, Liebao, QIP Surf, Edge, Firefox, Waterfox, K-Meleon, IceDragon, Cyberfox, BlackHawK, Pale Moon.
Dato che leggere le password dai browser richiede l’uso di SQLite, il malware verifica se un’installazione disponibile è presente sulla macchina, in caso di successo le password sono estratte direttamente dal codice VB6 e accumulate in una stringa, altrimenti vengono usati due eseguibili zippati contenuti nelle risorse. Questi eseguibili salvano le credenziali rubate nel file %APPDATA%\Microsoft\Windows\Templates\credentials.txt il quale è in ogni caso letto dal codice VB6 e il cui contenuto aggiunto alla stringa delle credenziali (se la macchina ha SQLite il file è vuoto e la stringa di credenziali piena, se non c’è SQLite avviene il contrario, in ogni caso non ci sono duplicati). Le credenziali sono poi inviate direttamente per e-mail agli autori della campagna.
Oltre ai browser sono vittime di BluStealer anche i seguenti programmi di posta: Outlook 2013+, Thunderbird, FoxMail ed i seguenti programmi di networking: CoreFTP, WinSCP, NordVPN. Fatto interessante di BluStealer è che, qualora la vittima usi Thunderbird o 163Mail, può rubare anche il contenuto delle e-mail e i contatti della rubrica.
Quando è necessario fare un pagamento in criptovalute si deve indicare l’indirizzo del portafoglio che riceverà il pagamento. Questi indirizzi consistono di una lunga sequenza di caratteri che non formano parole di senso compiuto (sono infatti dati binari generati deterministicamente da qualsiasi Key Material sia usato dalla criptovaluta e spesso sono hash della chiave pubblica) e di conseguenza è necessario copiarli quando si effettua un pagamento.
Quando una vittima di BluStealer copia un indirizzo a cui effettuare un pagamento, questo viene sostituito con un indirizzo sopra. Se ad esempio la vittima copia 1Ague393ishheuejjgh2922NH3guTJIEkm7 e poi va ad incollare quanto copia nel programma di pagamento, in realtà l’indirizzo inserito sarà 1AfFoww2ajt5g1YyrrfNYQfKJAjnRwVUsX e quindi il pagamento andrà a beneficio degli autori del malware.
Il malware supporta diverse versioni di indirizzi Bitcoin in modo che il formato dell’indirizzo fraudolento risulti simile a quello originariamente copiato.
Questa tecnica non è nuova e generalmente non porta grossi guadagni in quanto le transazioni in criptovalute sono relativamente rare. Tuttavia, è semplice da implementare e occasionalmente la si trova in RAT ed infostealer. Al momento ha fruttato poco meno di 1500$ agli autori di questa campagna.
DarkCloud è un nome che compare spesso quando BluStealer formatta i dati rubati: in particolare compare la stringa “===============DARKCLOUD===============” e i prefissi negli oggetti delle e-mail sono DC. Questo spiega il motivo per cui “BluStealer” oltre ad essere conosciuto come “a310logger” è identificato da molti con il nome di “DarkCloud”.
Il CERT-AgID ha già condiviso gli IoC relativi a questa campagna con le organizzazioni accreditate al flusso IoC del CERT-AgID.
