Come un virus ci ruba i dati del conto bancario

Nelle ultime settimane del 2018, in Italia, si è manifestata una nuova e potete variante della già nota botnet chiamata Danabot.

Piccola parentesi per i nuovi lettori :

botnet :

si tratta di una rete articolata, controllata remotamente da “attaccanti” e composta per lo più da da dispositivi infettati da malware. Tale rete è specializzata e finalizzata a compiere azioni crimonose.

Questo genere di minaccia è molto attuale sia nelle Aziende che tra i privati e si propaga mediante campagne di e-mail phisihng con allegati infetti (stile ransonmware).

Ho analizzato la ricerca portata avanti da Eset, sezionando le varie azioni che la minaccia porta a termine, in modo da farvi capire la pericolosità di questo tipo di malware che si scatena semplicemente con l’apertura incauta di un file Word. Partiamo!

Tutto parte, come sempre dall’utente (lo chiameremo Target) che trova nella sua casella di posta elettronica una mail, magari artefatta, che riporta come oggetto qualcosa a lui affine “Fattura” o “Accredito” o “Bolletta Enel”, e me apre l’allegato. Danabot sfrutta i documenti Word con attivazione di macro, sappiamo bene che le macro sono delle azioni automatiche registrate all’interno del documento che possono scatenarsi con l’apertura dello stesso; nel caso specifico l’azione è il collegamento ad un server remoto e compromesso per il download di una DLL infetta.

Il caso analizzato vede il Target compromesso connettersi all’host remoto 149.154.157.104 (EDIS-IT IT) tramite un canale SSL crittografato, quindi scarica altri componenti e si elimina dal file system. Nel frattempo imposta un servizio di sistema nella chiave di registro “HKLM \ SYSTEM \ CurrentControlSet \ Services”. Queste chiavi del Registro di sistema sono responsabili del caricamento di librerie collegate dinamicamente in “sola lettura ” e ” nascoste ” ” C: \ ProgramData \ D93C2DAC “.


Figura 1. Chiave del Registro di sistema creata dal malware nel Pc infetto

Figura 2: cartella completa per l’impianto di malware.

Ora che la minaccia si è annidata nei registri del Target inizia il suo lavoro “sporco” attivando un serie di funzioni, la più importante è la creazione di un proxy di inoltro che crea una canale di comunicazione tra il PC della vittima e l’attaccante in modo che quest’ultimo possa intercettarne e modificarne il traffico. Questo avviene tramite un attacco “Man in The Browser

Man in The Browser:

si tratta di un attacco in cui il malware viene inoculato nel browser internet della vittima e permette di intercettare, registrare e manipolare qualunque comunicazione tra l’utente e il Web

Ora che l’attacco è avviato, ogni chiamata verso siti di carattere bancario, e-commerce e informazioni sensibili saranno intercettati e manipolati dall’attaccante, non solo: durante l’esecuzione delle funzioni di cui sopra, il malware cerca anche le informazioni sensibili memorizzate nella cartella dei dati dei browser web installati, come Google Chrome e Mozilla Firefox. raccoglie le credenziali salvate e le archivia in un database SQLite temporaneo situato nel percorso “ C: \ WINDOWS \ TEMP “.

Ma torniamo all’attacco; per eseguire il Man in The Browser il malware imposta un proxy di inoltro all’interno di Internet Expolorer, così facendo potrà ispezionare tutto il traffico internet in entrata e in uscita. Quando la vittima richiede una pagina Web specifica e relativa a uno dei siti “sensibili”, il malware inserisce nella pagina un codice javascript personalizzato (web injection) al fine di intercettare ed estrarre informazioni delicate dell’utente come dati personali, credenziali e numeri PAN. Tutto questo grazie alla DLL scaricata aprendo l’allegato Word.

Ho estratto la configurazione del malware analizzato, ed ho potuto recuperare l’elenco completo delle pagine Web intercettate dagli attaccanti, scoprendo che il malware si rivolge ai clienti di una vasta gamma di istituti finanziari : la maggior parte di essi sono società bancarie italiane come Bancoposta, Intesa San Paolo, Banca Generali, BNL, Hello Bank, UBI Banca, ecc. Oltre ai siti web bancari, anche un gruppo di provider di posta elettronica viene preso di mira dal malware, ad esempio i provider di servizi webmail come Tim, Yahoo, Hotmail, Gmail e altri servizi di posta elettronica più specifici relativi a società immobiliari italiane come Tecnocasa.

Web-Injection

Il resto del lavoro lo fa uno script Java tramite una web-injection, ossia l’iniezione di un programma malevolo all’interno della sessione internet dell’utente. Nelle prossime due immagini vi mostro la navigazione sullo stesso sito (Ing Bank), la prima pulita, la seconda con in corso una Web Injection


Sito Web bancario senza iniezione javascript


Sito Web bancario con iniezione javascript

Come noterete nella seconda figura è presente la riga

<script id=”myjs1″ src=”my9rep/myjs28_frr_s41.js” data-botid = “7D71A359FA70C9180156AAC2148EDD5D”> </script>

Il codice di iniezione web controlla una risorsa php dannosa “/my9rep/777.php”, inviando i dettagli del bot-id e i cookie di sessione correnti.

In questo modo l’attaccante riceve tutti i dati di sessione, e al termine di un tempo prestabilito, si porta via il database temporaneo, i dati rubati e si auto elimina dal sistema cancellando le proprie tracce.

Se avessi effettuato un pagamento con Carta di Credito o avessi fatto accesso la mio Home Banking, l’attaccante avrebbe avuto tutti i dati necessari per fare lui stesso il pagamento o l’accesso con i miei dati.

In Conlusione

La minaccia Danabot ha ampliato le sue attività nel panorama italiano durante l’ultimo anno, in particolare durante il novembre 2018 quando un’ondata di attacco massiccia è stata intercettata. La configurazione specifica estratta dal campione analizzato è un’altra chiara indicazione del crescente interesse criminale nei confronti degli utenti e dell’organizzazione italiana, non limitato al settore bancario tradizionale.

La raccomandazione è quella di prestare sempre la massima attenzione nel gestire la corrispondenza mail che è il primo veicolo di questo genere di infezioni.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *