Una campagna di malvertising in corso viene utilizzata per distribuire loader .NET virtualizzati progettati per distribuire il malware FormBook che ruba informazioni. “I loader, denominati MalVirt, utilizzano la virtualizzazione offuscata per l’anti-analisi e l’evasione insieme al driver Windows Process Explorer per la terminazione dei processi”, hanno dichiarato i ricercatori di SentinelOne Aleksandar Milenkoski e Tom Hegel in un documento tecnico.
Il passaggio al malvertising di Google è l’ultimo esempio di come gli attori del crimine stiano escogitando vie di distribuzione alternative per distribuire malware da quando Microsoft ha annunciato l’intenzione di bloccare l’esecuzione di macro in Office per impostazione predefinita da file scaricati da Internet. Il malvertising consiste nell’inserire annunci pubblicitari illeciti sui motori di ricerca nella speranza di indurre gli utenti che cercano software popolari come Blender a scaricare il software troianizzato.
I caricatori MalVirt, implementati in .NET, utilizzano il legittimo protettore di virtualizzazione KoiVM per le applicazioni .NET nel tentativo di nascondere il proprio comportamento e hanno il compito di distribuire la famiglia di malware FormBook. Oltre a incorporare tecniche di anti-analisi e anti-rilevamento per eludere l’esecuzione all’interno di una macchina virtuale o di un ambiente sandbox per applicazioni, è stato scoperto che i caricatori utilizzano una versione modificata di KoiVM che integra ulteriori livelli di offuscamento per rendere la decifrazione ancora più difficile.
I caricatori distribuiscono e caricano anche un driver firmato di Microsoft Process Explorer con l’obiettivo di eseguire azioni con permessi elevati. I privilegi, ad esempio, possono essere usati come arma per terminare i processi associati al software di sicurezza per evitare di essere segnalati. Sia FormBook che il suo successore, XLoader, implementano un’ampia gamma di funzionalità, come il keylogging, il furto di screenshot, la raccolta di credenziali web e di altro tipo e l’installazione di ulteriore malware. I ceppi di malware si distinguono anche per il fatto di camuffare il loro traffico di comando e controllo (C2) tra le richieste HTTP con contenuti codificati a più domini esca, come già rivelato da Zscaler e Check Point lo scorso anno.
“In risposta al blocco predefinito delle macro di Office da parte di Microsoft nei documenti provenienti da Internet, gli attori delle minacce si sono rivolti a metodi alternativi di distribuzione del malware – più recentemente, il malvertising”, hanno dichiarato i ricercatori.
“I caricatori di MalVirt […] dimostrano quanto impegno gli attori delle minacce stiano investendo per eludere il rilevamento e vanificare l’analisi”.
È pertinente che il metodo stia già registrando un picco a causa del suo utilizzo da parte di altri attori criminali per spingere gli stealers IcedID, Raccoon, Rhadamanthys e Vidar negli ultimi mesi. “È probabile che un attore di minacce abbia iniziato a vendere malvertising come servizio sul dark web e che ci sia una grande richiesta”, ha dichiarato Abuse.ch in un rapporto, indicando una possibile ragione per l'”escalation”.
Le scoperte arrivano due mesi dopo che K7 Security Labs, con sede in India, ha descritto una campagna di phishing che sfrutta un loader .NET per rilasciare Remcos RAT e Agent Tesla tramite un binario virtualizzato KoiVM.
Tuttavia, non si tratta solo di annunci dannosi, poiché gli avversari stanno sperimentando anche altri tipi di file, come gli add-in di Excel (XLL) e gli allegati e-mail di OneNote, per eludere i perimetri di sicurezza. A questo elenco si è aggiunto di recente l’uso dei componenti aggiuntivi di Visual Studio Tools for Office (VSTO) come veicolo di attacco.
“I componenti aggiuntivi VSTO possono essere inseriti nei documenti di Office (VSTO locale) o, in alternativa, recuperati da una posizione remota quando viene aperto un documento di Office con VSTO (VSTO remoto)”, ha rivelato Deep Instinct la scorsa settimana. “Questo, tuttavia, potrebbe richiedere l’aggiramento dei meccanismi di sicurezza legati alla fiducia”.
