Quello dei malware è un business e, sempre più spesso, dove c’è un business c’è un servizio che si può fornire. Diventa sempre più evidente che l’asimmetria tra le forze richieste per la difesa (onerosa) dei sistemi informatici ed il loro attacco (agevole) rende la nicchia degli attacchi malware sempre più appetibile ad ogni genere di criminale, aumentando quindi la pletea degli attori coinvolti.

Raramente però i criminali sono anche programmatori e, col crescere degli attori malevoli a caccia di guadagni e informazioni, cresce per loro anche la necessità di rifornirsi rapidamente di strumenti già pronti all’uso e che non necessitano di alte competenze. Fiorisce così il Malware-as-a-Service (MaaS), servizi di malware già confezionati, pronti all’uso, che hanno bisogno solo di essere opportunamente configurati.

Ma, a quanto pare, non sempre queste attività sono condotte dai criminali in maniera corretta. Durante le sue attività di monitoraggio e di analisi delle campagne malware specifiche per l’Italia, il CERT-AGID ha riscontrato nelle ultime settimane un crescente numero di e-mail che veicolavano malware il cui “meccanismo di innesco” non funzionava. Le e-mail, tutte scritte in italiano, contenevano allegati pericolosi ma che, anche qualora eseguiti, non erano in grado di infettare la vittima.

A volte, in questi casi, il motivo è una disattenzione degli autori. Ad esempio l’ultima campagna sLoad era stata lanciata verso le caselle PEC, dimenticando però di fornire alle vittime la password per estrarre il documento compresso che si invitava a scaricare dal link presente nel messaggio.

Altre volte gli autori non riescono ad integrare per bene i singoli strumenti che hanno acquistato sbagliando a collegare i vari componenti tra loro. Un malware infatti è solo l’ultimo di una serie di componenti indipendenti ma che devono lavorare in sinergia.

Abbiamo già avuto evidenze anche di casi in cui il dropper è configurato male. Una vecchia campagna Formbook utilizzava un dropper che provava a scaricare il packer da un indirizzo IP non valido: gli autori avevano sbagliato ad inserire l’IP.

Recentemente, sempre Formbook si è reso protagonista di un altra campagna “fallata”.

L’e-mail in italiano poco idiomatico presenta, come da copione, un allegato ZIP:

L’eseguibile presente all’interno dell’archivio, una volta lanciato sul sistema, mostra il seguente errore e il processo viene terminato.

Anche per le sandbox online risulta difficile comprendere la natura del file e soprattutto individuarne la famiglia. Triage gli attribuisce un puntaggio di 3/10, AnyRun lo classifica come sospetto ma nessuna attività malevola viene individuata, stesso discorso per Joesandbox che nonostante confermi la natura malevola non è in grado di fornire ulteriori dettagli sul nome del malware.

Analizzando l’eseguibile, un PE scritto in .NET, già dalla fase iniziale è possibile osservare che viene estratta e caricata una DLL ausiliaria (sempre un assembly .NET) alla quale vengono passati tre argomenti, tra cui uno denominato “GUI_Demo1“.

In fase di debug, questo parametro viene utilizzato da una seconda DLL per decodificare la risorsa Bitmap denominata “QcZo” all’interno del resource set di nome “GUI_Demo1.Properties.Resources“.

Questa risorsa non viene rilevata in quanto “GUI_Demo1” non esiste e questo causa l’errore mostrato in fase di esecuzione. La bitmap “QcZo” in realtà è però presente e si trova all’interno del set “MathToolsMenu.Properties.Resources” del PE iniziale.

Cambiando manualmente il nome della risorsa da “GUI_Demo1” a “MathToolsMenu” l’esecuzione procede generando un eseguibile che risulta essere Formbook versione 4.1 campagna “d0a7“.

Si tratta quindi di un caso in cui il packer non è stato adeguatamente configurato per estrarre correttamente il malware.

Conclusioni

L’uso di packer per occultare i malware è ormai una tecnica assodata da tempo: si pensi al recente ModiLoader utilizzato per diffondere AveMaria o la nota accoppiata Guloader per AgentTesla ma, come osservato nelle recenti campagne Formbook, i threat actors non sono sempre così meticolosi. Solo nelle ultime due settimane abbiamo avuto più evidenze dell’uso erroneo di questo packer, inviato alle vittime senza aver effettuato alcuna verifica sul corretto funzionamento.

È probabile che il builder utilizzato per generare l’eseguibile non sia stato popolato con le informazioni corrette, magari per disattenzione, per inesperienza o semplicemente perchè ripreso da una versione demo messa a disposizione dai produttori su appositi forum.

Al di là del fattore umano presente nella killchain delle campagne malware, investigare i motivi dietro ad una campagna fallita si rileva generalmente utile. Sebbene l’impegno richiesto ad un analista sia maggiore, spesso è possibile comunque recuperare il payload finale (il malware) e censirne così gli indicatori.

Questi indicatori si dimostrano particolarmente utili poichè è solito per gli autori far seguire alla campagna fallita una campagna corretta che riusa il solito malware, mettendo per una volta chi si difende in posizione di vantaggio.

Indicatori di Compromissione

Gli IoC relativi a questa campagna sono stati già condivisi con le organizzazioni accreditate al flusso IoC del CERT-AGID.

Link: Download IoC