IMPORTANTE

IoC 08/10/2021

CERT-AgID semplifica l’accesso ai propri Indicatori di Compromissione (IoC)

Fino ad oggi per accedere agli indicatori delle campagne malevole gestiti e censiti quotidianamente dal CERT-AGID era necessario disporre di tre requisiti: Essere una Pubblica Amministrazione; Accreditarsi presso il CERT-AGID; Dotarsi di una opportuna instanza MISP o del client di interfacciamento CNTI sviluppato dallo stesso CERT-AgID. Mentre i primi due requisiti resteranno invariati in quanto […]

Analisi di Matiex (404Keylogger)

24/09/2020

matiex

Il malware è stato veicolato nella giornata di ieri tramite e-mail scritte in italiano, a tema TNT, contenente un allegato con estensione RAR e denominato WAY-Bill.rar.

Al suo interno sono presenti due eseguibili Spedizione.exe e Invoice.exe che svolgono la medesima attività.

Il malware, noto come Matiex o 404Keylogger, è scritto in .NET ma è annidato all’interno di altri packer utilizzando metodi di offuscazione più o meno noti.

Step #1

Da una rapida analisi del sample si individua rapidamente la presenza di una risorsa contenente una immagine PNG di circa 670 Kb.

Da questa risorsa viene estratto e caricato un nuovo eseguibile, ancora una volta un .NET, di 460 Kb.

Step #2

Analizzando staticamente il nuovo file .NET è possibile individuare la presenza di una risorsa “sospetta” di 430 Kb.

Questa risorsa (meYEMUIbqAKC) viene decifrata, con password embedded (pass = “cgyCRFdeHpoD”), per ottenere un nuovo eseguibile, ancora una volta un .NET, di 430 Kb.

Step #3

L’eseguibile .NET, ottenuto dalle operazioni eseguite nello Step #2, rappresenta il cuore del malware. Questa volta il file risulta essere offuscato con Babel .NET (https://www.babelfor.net/), un offuscatore noto e per il quale fortunatamente è disponibile il decryptor.

Nell’immagine a seguire due screenshot: a sinistra il codice offuscato, a destra il codice “leggibile” dopo averlo deoffuscato con de4dot ed il supporto per Babel .NET.

L’immagine a sinistra spiega anche il motivo per cui il malware è stato denominato “Matiex”.

Il malware

All’avvio del processo, il malware attiva una serie di timer che ogni 10 minuti avviano le seguenti funzioni:

  • ClipboardLoggerTimer (copia i dati memorizzati in clipboard)
  • ScreenshotLoggerTimer (effettua screenshot)
  • KeyboardLoggerTimer (cattura i caratteri digitati dall’utente)

Recupera informazioni relative alla macchina della vittima (computer name, sistema, piattaforma, disk space, ram space) e al paese di appartenenza, prima interrogando il servizio “http://checkip.dyndns.org/” e poi parsando i valori del file XML prodotti dal servizio “https://freegeoip.app/xml/“.

/* Matiex Keylogger - Recovered Clipboard *\
| System Information |
Computer Name: YOURCOMPUTER-PC
Machine Name: Microsoft Windows 7 Ultimate
Machine PlatForm: Win32NT
Computer IP: 12<.>34<.>56<.>78
Country Name: Italy
Country Code: IT
Time Zone: Europe/Rome
Full Location: s://www<.>geodatatool<.>com/en/?ip=12<.>34<.>56<.>78
Date and Time: 23/09/2020 / 17:39:12
Total Hard Disk Space: 30 GB
Ram Space: 2,00 GB
Hardware ID: A234-567B-CA6E-21E2-DFD1-4321-3B2F-AA6F
C:\Users\yourcomputer\AppData\Roaming\Microsoft\Windows\Cookies\"/ Matiex Keylogger - Recovered keystrokes \\
=============== Matiex ==============="

Recupera e decifra le credenziali memorizzati dai seguenti client (tra browser e posta elettronica):

RecuperaDecifra
Outlook
Foxmail
Yandex
Nichrome
Chrome
CocCoc
QQ
orbitum
Vivaldi
Chromium
Superbird
360_English
360_China
Brave
Torch
UC
Blisk
Epic
Opera
BlackHawk Chrome_Canary
IceCat
FireFox
Thunderbird
SeaMonkey
IceDragon
CyberFox
WaterFox
PostBox

Abilita altri timer:

  • VoiceRecordLogger (modulo di registrazione vocale)
  • processhackerFucked (enumera i processi e verifica se è in esecuzione il tool Process Hacker)
File MK-Voice.mp3 prodotto da VoiceRecordLogger

Ed in fine abilita un nuovo timer per inviare agli autori i dati carpiti ad intervalli di 5 minuti:

  • ThePSWDSenders

La modalità di invio dati al C2 prevista dai criminali per questa versione è il sender SMTP. Il codice prevede altre due modalità (FTP e Telegram) per contattare il C2 ma non sono attive su questo sample poichè le variabili relative agli indirizzi, al bot e alle credenziali di accesso sono vuote.

In definitiva tutte le informazioni vengono inviate dalla macchina compromessa al seguente indirizzo email: info.center3@ebop.website

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

Link: Download IoC

Taggato  matiex