Un’ondata di e-mail malevoli starebbe, eludendo i sistemi di sicurezza target, distribuendo il RAT NanoCore abusando del formato file .ZIPX.
L’obiettivo delle campagne malspam è quello di nascondere in modo efficace i payload malevoli dalla rilevazione antispam e antivirus, celandoli all’interno di file considerati convenzionalmente legittimi e attendibili. È in questo contesto che si inserisce la recente scoperta dei ricercatori di sicurezza informatica secondo cui un’ondata di e-mail malevoli starebbe, eludendo i sistemi di sicurezza target, distribuendo il RAT NanoCore abusando del formato file .ZIPX.
L’estensione .ZIPX è stata introdotta a partire dalla versione 12.1 di WinZip nel 2009 e viene associata ai formati file di tipo Extended ZIP Compressed Archive.
Tali tipi di file d’archivio vengono, solitamente, usati perché supportano algoritmi di compressione multipli mirati a ottenere una miglior compressione d’immagini, multimedia, testi o file binari.
Analisi campionaria
Le e-mail esaminate, provenienti da un sedicente responsabile acquisti afferente ad una organizzazione illecitamente impersonificata, propinano un allegato dal nome “NEW URGENT PURCHASE ORDER.pdf.zipx”, che in realtà, analizzato con un editor esadecimale, altro non è che un file binario contenente come extra dati un file icona riproducente il logo “pdf” e un archivio .RAR. Delle ulteriori prove eseguite dagli stessi ricercatori hanno dimostrato che tale allegato può essere decompresso solo tramite l’impiego delle utility WinRAR o 7Zip.
Tramite un file così strutturato e riconosciuto come legittimo e attendibile, gli attaccanti riuscirebbero, quindi, a eludere qualsiasi controllo da parte dei gateway di posta elettronica, nascondendo efficacemente un file .EXE malevolo.
L’analisi degli eseguibili decompressi e raccolti e che presentano un nome analogo a quello dell’archivio .ZIPX (“NEW URGENT PURCHASE ORDER.EXE”) avrebbe, infatti, rilevato che trattasi di esemplari del RAT noto come NanoCore nella sua versione 1.2.2.0.
Il RAT NanoCore
Apparso per la prima volta in natura nel 2013, questo tipo di Trojan di accesso remoto (RAT) che solitamente include funzionalità keylogger, infostealer, dropper e un protocollo di comunicazione di presidio C2, è stato spesso venduto nei forum darknet e diffuso attraverso campagne di phishing legate al settore finanziario.
Nella fattispecie questa variante identificata dagli Spiderlabs di Trustwave sarebbe, in particolare, capace di creare copie di se stesso nella cartella di sistema nascosta di Windows “AppData”, iniettare il codice malware nel processo RegSvcs.exe (strumento legittimo di Microsoft per l’installazione dei servizi .NET) e inviare i dati carpiti a due server di comando e controllo raggiungibili rispettivamente agli indirizzi “shtf [.] pw” e “uyeco [.] pw”.
Consigli di mitigazione
Come evidenziato dagli stessi ricercatori, questa tecnica di elusione è stata già adoperata in una simile campagna di phishing che nel 2019, tramite un file allegato con estensione .ZIPX, ha diffuso però il noto trojan bancario Lokibot, specializzato anche in furti di portafogli di criptovaluta.
Alla luce di quanto esposto e della possibile estensione ed evoluzione della campagna, si consiglia proattivamente agli amministratori di rete di valutare l’implementazione sui propri apparati di sicurezza degli IoC resi pubblici.
Allegati:
NEW PURCHASE ORDER.pdf.zipx (480092 byte)
SHA1: DF46A893B51D8ADE0CCDEF7E375FB387E2560720
New Purchase Order.pdf (2) .zipx (403050 byte)
SHA1: C93FBA54357E90235202F58DA1FEFF7
NanoCore RAT:
NEW PURCHASE ORDER.exe (635904 byte)
SHA1: E99F6B9BD787679666F8C54B9A834D6ACECFA622
New Purchase Order (3) .exe (431104 byte)
SHA1: FD958C365B6BFA5EF34779831773EC92C041A5D