Si è chiusa di recente una ricerca approfondita, partita a metà dicembre, che ha portato alla luce una nuova famiglia di infostealer che è stata battezzata “Ave Maria”.
infostealer
è un particolare tipo di Trojan Virus che ruba le informazioni contenute sui computer compromessi in cui viene eseguito e provvede a comunicarli all’esterno.
Si è manifestato con una campagna a pioggia di tipo crime che, tra gli altri target, avrebbe colpito anche in Italia.
La minaccia in questione deriva dal trojan bancario TinyNuke, a sua volta variante di NukeBot.
Le email distribuite dagli attaccanti – che si spacciano per conferme di spedizioni o richieste di pagamento – contengono in allegato un Excel con l’exploit per la vulnerabilità Microsoft Office CVE-2017-11882 (vulnerabilità della memoria corrotta).
Dopo che le vittime hanno aperto il documento viene scaricato un archivio zippato (.rar) auto estraente che contiene file con estensioni fuorivianti; fra di essi vi sono un AutoIt interpreter, uno script AutoIt offuscato e un ICM che contiene il payload finale e le sue configurazioni.
Lo script dispone di tecniche per l’elusione della detection e ha il compito di decriptare ed eseguire il payload finale che si trova all’interno dell’ICM.
Il payload, una volta iniettato in un processo .NET legittimo, procede con la connessione al C&C.
AVE_MARIA dispone di un’utility per aggirare lo User Access Control; inoltre, sfrutta una vulnerabilità del tool Windows pkgmgr.exe per scalare i privilegi nei sistemi.
Può sottrarre le credenziali dei client mail come Microsoft Exchange e Outlook e Mozilla Thunderbird, ma anche di browser come Firefox e Chrome; i dati raccolti vengono cifrati con PK11.
Ulteriori analisi hanno permesso di rilevare all’interno dell’infrastruttura degli attaccanti l’utilizzo di IP mobile nigeriani per ospitare sistemi di comando e controllo.