Nelle ultime due settimane il CERT-AGID ha riscontrato un crescente numero di e-mail che veicolavano malware il cui “meccanismo di innesco” non funzionava: le e-mail, tutte scritte in italiano, contenevano allegati dannosi ma che, anche qualora eseguiti, non erano in grado di infettare la vittima.
Gli esperti spiegano che raramente i criminali sono anche programmatori e, col crescere degli attori malevoli a caccia di guadagni e informazioni, cresce per loro anche la necessità di rifornirsi rapidamente di strumenti già pronti all’uso e che non necessitano di alte competenze. Fiorisce così il Malware-as-a-Service (MaaS), servizi di malware già confezionati, pronti all’uso, che hanno bisogno solo di essere opportunamente configurati. Ma, stando alle rilevazioni, non sempre queste attività sono condotte dai criminali in maniera corretta.
Talvolta – spiega il CERT-AGID – il motivo è una disattenzione degli autori. Ad esempio, nell’ultima campagna sLoad, hanno osservato che era stata lanciata verso le caselle PEC, dimenticando però di fornire alle vittime la password per estrarre il documento compresso che si invitava a scaricare dal link presente nel messaggio.
Altre volte gli autori non riescono a integrare bene i singoli strumenti che hanno acquistato sbagliando a collegare i vari componenti tra loro (un malware, infatti, è solo l’ultimo di una serie di componenti indipendenti ma che devono lavorare in sinergia).
Il CERT-AGID ha avuto evidenze anche di casi in cui il dropper era configurato male. Una vecchia campagna Formbook utilizzava un dropper che provava a scaricare il packer da un indirizzo IP non valido: gli autori avevano sbagliato ad inserire l’IP.
Recentemente, sempre Formbook si è reso protagonista di un’altra campagna “fallata”: l’e-mail in italiano poco idiomatico presentava, come da copione, un allegato ZIP. L’eseguibile presente all’interno dell’archivio, una volta lanciato sul sistema, mostrava un errore e il processo veniva terminato. Triage ha attribuito un puntaggio di 3/10, AnyRun lo classifica come sospetto ma nessuna attività malevola è stata individuata.
Lo stesso discorso vale per Joesandbox che nonostante confermi la natura malevola non è in grado di fornire ulteriori dettagli sul nome del malware. Analizzando l’eseguibile (un PE scritto in .NET), già dalla fase iniziale – spiegano gli esperti – è possibile osservare che viene estratta e caricata una DLL ausiliaria (sempre un assembly .NET) alla quale vengono passati tre argomenti, tra cui uno denominato “GUI_Demo1”.
In fase di debug, questo parametro viene utilizzato da una seconda DLL per decodificare la risorsa Bitmap denominata “QcZo” all’interno del resource set di nome “GUI_Demo1.Properties.Resources”. Questa risorsa non viene rilevata in quanto “GUI_Demo1” non esiste e questo causa l’errore mostrato in fase di esecuzione. La bitmap “QcZo” in realtà è però presente e si trova all’interno del set “MathToolsMenu.Properties.Resources” del PE iniziale. Cambiando manualmente il nome della risorsa da “GUI_Demo1”a “MathToolsMenu” l’esecuzione procede generando un eseguibile che risulta essere Formbook versione 4.1 campagna “d0a7”. Si tratta quindi di un caso in cui il packer non è stato adeguatamente configurato per estrarre correttamente il malware.
“L’’uo di packer per occultare i malware è ormai una tecnica assodata da tempo: si pensi al recente ModiLoader utilizzato per diffondere AveMaria o la nota accoppiata Guloader per AgentTesla ma, come osservato nelle recenti campagne Formbook, i threat actors non sono sempre così meticolosi. Solo nelle ultime due settimane abbiamo avuto più evidenze dell’uso erroneo di questo packer, inviato alle vittime senza aver effettuato alcuna verifica sul corretto funzionamento.
È probabile che il builder utilizzato per generare l’eseguibile non sia stato popolato con le informazioni corrette, magari per disattenzione, per inesperienza o semplicemente perché ripreso da una versione demo messa a disposizione dai produttori su appositi forum.
Al di là del fattore umano presente nella killchain delle campagne malware, investigare i motivi dietro ad una campagna fallita si rileva generalmente utile. Sebbene l’impegno richiesto ad un analista sia maggiore, spesso è possibile comunque recuperare il payload finale (il malware) e censirne così gli indicatori.
Questi indicatori si dimostrano particolarmente utili poiché è solito per gli autori far seguire alla campagna fallita una campagna corretta che riusa il solito malware, mettendo per una volta chi si difende in posizione di vantaggio”, concludono gli esperti del CERT-AGID.
