Il CERT-AGID ha identificato una campagna di malspam che sfrutta, ancora una volta, uno spazio di archiviazione dedicato di una casella legata a un noto provider di posta elettronica italiano, con l’intento di compromettere i sistemi delle vittime attraverso l’utilizzo dei malware XWorm e Katz Stealer.

Il link iniziale indirizza a una risorsa ospitata su una casella webmail, che mette a disposizione un file TAR contenente al suo interno un file JavaScript di oltre 57K righe. La maggior parte del codice è costituito da funzioni frequentemente replicate e impiegate solo per complicare l’analisi e celare il funzionamento effettivo.

Il codice realmente operativo si limita a poche righe che, alla fine, restituiscono il seguente script PowerShell offuscato in Base64:

La decodifica produce un ulteriore PowerShell e una nuova stringa Base64 (invertita). Entrambi rimandano a ulteriori risorse presenti nello spazio di archiviazione della stessa casella di posta.

L’URL contenuto nello script Powershell conduce al download di un’immagine steganografata da 2.6MB: il payload è codificato sequenzialmente nei pixel dell’immagine. I byte dei canali RGB vengono letti e i primi 4 sono interpretati come lunghezza, che viene poi utilizzata per estrarre i byte successivi come dati utili.

Il file così ottenuto è noto come Katz Stealer, un malware-as-a-service (MaaS) riscontrato dal CERT-AGID per la prima volta, di cui è disponibile una recente analisi pubblica e per il quale sono comunque in corso ulteriori analisi.

Katz Stealer viene invocato attraverso la funzione VAI, anch’essa precedentemente configurata nel codice PowerShell in Base64. Il suo obiettivo è quello di rubare le credenziali di accesso.

Successivamente, viene utilizzato un secondo URL per scaricare un file di testo chiamato xwormdotnet.txt (il nome stesso è indicativo), che contiene un codice Base64 invertito. Questo codice viene caricato in memoria, convertito da Base64 in un eseguibile e infine iniettato utilizzando MSBuild.exe. Si tratta del malware XWorm, che comunica con il server C2 indicato in figura:

Azioni di contrasto

Il CERT-AGID ha allertato il provider di posta elettronica che ha provveduto a dismettere le risorse malevole. Gli IoC relativi alla campagna sono stati contemporaneamente diramati attraverso il Feed IoC del CERT-AGID verso le strutture accreditate.

Indicatori di Compromissione

Al fine di rendere pubblici i dettagli della campagna odierna si riportano di seguito gli IoC rilevati:

Link: Download IoC