Ave Maria : nuova famiglia di Infostealer

Si è chiusa di recente una ricerca approfondita, partita a metà dicembre, che ha portato alla luce una nuova famiglia di infostealer che è stata battezzata “Ave Maria”.

infostealer

è un particolare tipo di Trojan Virus che ruba le informazioni contenute sui computer compromessi in cui viene eseguito e provvede a comunicarli all’esterno.

Si è manifestato con una campagna a pioggia di tipo crime che, tra gli altri target, avrebbe colpito anche in Italia.
La minaccia in questione deriva dal trojan bancario TinyNuke, a sua volta variante di NukeBot.

Le email distribuite dagli attaccanti – che si spacciano per conferme di spedizioni o richieste di pagamento – contengono in allegato un Excel con l’exploit per la vulnerabilità Microsoft Office CVE-2017-11882 (vulnerabilità della memoria corrotta).
Dopo che le vittime hanno aperto il documento viene scaricato un archivio zippato (.rar) auto estraente che contiene file con estensioni fuorivianti; fra di essi vi sono un AutoIt interpreter, uno script AutoIt offuscato e un ICM che contiene il payload finale e le sue configurazioni.

Lo script dispone di tecniche per l’elusione della detection e ha il compito di decriptare ed eseguire il payload finale che si trova all’interno dell’ICM.
Il payload, una volta iniettato in un processo .NET legittimo, procede con la connessione al C&C.

AVE_MARIA dispone di un’utility per aggirare lo User Access Control; inoltre, sfrutta una vulnerabilità del tool Windows pkgmgr.exe per scalare i privilegi nei sistemi.

Può sottrarre le credenziali dei client mail come Microsoft Exchange e Outlook e Mozilla Thunderbird, ma anche di browser come Firefox e Chrome; i dati raccolti vengono cifrati con PK11.
Ulteriori analisi hanno permesso di rilevare all’interno dell’infrastruttura degli attaccanti l’utilizzo di IP mobile nigeriani per ospitare sistemi di comando e controllo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *