Il malware FormBook si diffonde tramite MalVirt Loader
Una campagna di malvertising in corso viene utilizzata per distribuire loader virtualizzati, il malware FormBook si diffonde utilizzando MalVirt Loader per eludere il rilevamento.
I ricercatori di SentinelOne Aleksandar Milenkoski e Tom Hegel in un documento tecnico hanno dichiarato:
- “I caricatori, denominati MalVirt, utilizzano la virtualizzazione offuscata per l’anti-analisi e l’evasione, insieme al driver Windows Process Explorer per la terminazione dei processi”
Il passaggio al malvertising di Google è l’ultimo esempio di come gli attori del crimine stiano escogitando vie di distribuzione alternative per distribuire malware.
Microsoft annuncia l’intenzione di bloccare l’esecuzione di macro in Office per impostazione predefinita da file scaricati da Internet.
Il malvertising: malware FormBook
Il malvertising consiste nell’inseririmento annunci pubblicitari illeciti sui motori di ricerca nella speranza di indurre gli utenti a scaricare il software troianizzato.
I caricatori MalVirt, implementati in .NET, utilizzano il legittimo protettore di virtualizzazione KoiVM per le applicazioni .NET.
Il tentativo è quello tentativo di nascondere il proprio comportamento e hanno il compito di distribuire la famiglia di malware FormBook.
È stato scoperto che i caricatori utilizzano una versione modificata di KoiVM che integra ulteriori livelli di offuscamento per rendere la decifrazione ancora più difficile.
I caricatori distribuiscono e caricano anche un driver firmato di Microsoft Process Explorer con l’obiettivo di eseguire azioni con permessi elevati.
I privilegi, ad esempio, possono essere usati come:
- arma per terminare i processi associati al software di sicurezza per evitare di essere segnalati.
Sia FormBook che il suo successore, XLoader, implementano un’ampia gamma di funzionalità, come:
- il keylogging
- il furto di screenshot
- la raccolta di credenziali web e di altro tipo
- l’installazione di ulteriore malware
Ceppi di malware
I ceppi di malware FormBook si distinguono anche per il fatto di camuffare il loro traffico di comando e controllo (C2) tra le richieste HTTP con contenuti codificati a più domini esca, come già rivelato da Zscaler e Check Point lo scorso anno.
I ricercatori hanno dichiarato:
- “In risposta al blocco predefinito delle macro di Office da parte di Microsoft nei documenti provenienti da Internet, gli attori delle minacce si sono rivolti a metodi alternativi di distribuzione del malware
- “I caricatori di MalVirt […] dimostrano quanto impegno gli attori delle minacce stiano investendo per eludere il rilevamento e vanificare l’analisi”.
È pertinente che il metodo stia già registrando un picco a causa del suo utilizzo da parte di altri attori criminali per spingere gli stealers IcedID, Raccoon, Rhadamanthys e Vidar negli ultimi mesi.
Abuse.ch in un rapporto di escalation ha dichiarato:
È probabile che un attore di minacce abbia iniziato a vendere malvertising come servizio sul dark web e che ci sia una grande richiesta”.
Le scoperte arrivano due mesi dopo che K7 Security Labs ha descritto una campagna di phishing che sfrutta un loader .NET per rilasciare Remcos RAT e Agent Tesla tramite un binario virtualizzato KoiVM.
Tuttavia, non si tratta solo di annunci dannosi, poiché gli avversari stanno sperimentando anche altri tipi di file, come gli add-in di Excel (XLL) e gli allegati e-mail di OneNote, per eludere i perimetri di sicurezza.
A questo elenco si è aggiunto di recente l’uso dei componenti aggiuntivi di Visual Studio Tools for Office (VSTO) come veicolo di attacco.
Deep Instinct, la scorsa settimana, ha rivelato:
- “I componenti aggiuntivi VSTO possono essere inseriti nei documenti di Office (VSTO locale) o, in alternativa, recuperati da una posizione remota quando viene aperto un documento di Office con VSTO (VSTO remoto)”
- “Questo, tuttavia, potrebbe richiedere l’aggiramento dei meccanismi di sicurezza legati alla fiducia”
