Malpedia

apk hydra 21/09/2022

Analisi del trojan bancario Hydra diffuso in Italia

Recentemente D3Lab ha rilevato e condiviso con il CERT-AgID un campione di malware per dispositivi Android individuato in una campagna di smishing rivolta verso utenti italiani. La campagna è veicolata tramite link riportato in un SMS e la pagina di download risulta visibile solo se visitata da un browser che si presenti con User-Agent Android. […]

guloader 21/07/2022

Tecniche per semplificare l’analisi del malware GuLoader

Gli analisti di CERT-AgID hanno osservato GuLoader in Italia per la prima volta verso la fine mese di marzo 2021. Nell’arco dello scorso anno sono state registrate solo 6 campagne che utilizzavano GuLoader sfruttando il tema “Pagamenti“, “Preventivo” e “Ordine” con lo scopo di veicolare il malware AgentTesla ed in un solo caso si è […]

yau 05/03/2021

YAU – Parte 16 – Il C2, vulnerabilità

Negli articoli precedenti abbiamo visto l’architettura del C2, in questo mostriamo alcune vulnerabilità facili da identificare. Sebbene semplici, queste vulnerabilità permettono (o meglio lo permettevano) di arrivare ad installare shell PHP sul C2. YAU – YET ANOTHER URSNIF Questo è il sedicesimo di una serie di articoli, tutti raggruppati qui. Credenziali di default Nella root […]

yau 02/03/2021

YAU – Parte 15 – Il C2, i sorgenti e l’architettura

Dopo la breve panoramica sull’interfaccia del C2, è il momento di mettere mano ai sorgenti. Vedremo in questo articolo come recuperarli e ne descriveremo l’architettura (MVC) usata.L’analisi completa dei sorgenti non è affrontata poichè non di eccessivo interesse, si tratta di codice piuttosto semplice scritto in un linguaggio altrettanto semplice, per cui eventuali approfondimenti sono […]

yau 23/02/2021

YAU – Parte 13 – Il client, comandi e trasmissione al C2

Nell’articolo precedente abbiamo visto la struttura del client Ursnif. La quantità di codice di Ursnif è piuttosto ingente ed un’analisi dettagliata richiederebbe non solo molto tempo ma anche molta forza di volontà di eventuali lettori. Ci limitiamo quindi a mostrare le parti più interessanti: i comandi che il client può eseguire (dalla configurazione o dal […]

yau 19/02/2021

YAU – Parte 12 – Il client, da powershell ad explorer.exe e ai browser

Nell’articolo precedente abbiamo visto la parte di Ursnif comune a tutti i processi infettati. Adesso l’esecuzione prende strade diverse a seconda del processo infettato.Il diramamento avviene in ParserSetHooks ma nell’esposizione linearizzeremo la logica mostrando come Ursnif si sposti da powershell ad explorer.exe e da questi prosegue l’infezione. YET ANOTHER URSNIF Questo è il docicesimo di […]

yau 16/02/2021

YAU – Parte 11 – Il client, inizializzazione e configurazione

Il Client è il cuore di Ursnif.Viene avviato tramite MSHTA e PowerShell ma da questi è in grado di diffondersi in altri processi, primi tra tutti explorer.exe ed i browser Firefox, Edge, Internet Explorer, Opera e Safari. Il client è in grado di eseguire una serie di comandi, ottenuti dalla sua configurazione (contenuta in un […]

yau 11/02/2021

YAU – Parte 10 – Rimozione di Ursnif

In questo articolo vedremo come rimuovere Ursnif dal computer di una vittima. L’analisi fin ora fatta ci ha permesso di determinare quale meccanismo di persistenza usi Ursnif e quindi ci dà modo di rimuoverlo. YET ANOTHER URSNIF Questo è il decimo di una seria di articoli, tutti raggruppati qui. Indice Parte 1, Le e-mail e il […]

yau 09/02/2021

YAU – Parte 9 – Il secondo stadio, salvataggio dei moduli e persistenza

Questo articolo termina l’analisi del secondo stadio.Nel precedente ci eravamo fermati alla decifratura dei moduli.Ursnif contatta ogni C2 della sua configurazione fino ad ottenere un esito positivo, esito che si materializza con il download di tre moduli. Una volta scaricati e decifrati, questi moduli sono ri-codificati prima di essere salvati nel registro di sistema.Lo script […]