L'ANALISI TECNICA

404keylogger, il malware invisibile agli antivirus che ruba dati alle vittime: come difendersi

Una campagna malspam sta diffondendo in Italia il malware 404keylogger che, grazie ad avanzate tecniche anti-rilevamento e anti-analisi, riesce a bypassare i controlli antivirus e rubare indisturbato informazioni riservate e credenziali di accesso alle vittime. Ecco come riconoscerlo ed eventualmente rimuoverlo dal proprio PC

25 Set 2020
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore


Si chiama 404keylogger il malware infostealer RAT che, emerso per la prima volta su un forum underground russo nell’agosto del 2019, è diventato ben presto uno strumento dei criminal hacker, passando alla ribalta soprattutto per le campagne di phishing legate al tema Covid-19.

404keylogger è ora tornato a colpire l’Italia così come confermato dai ricercatori di sicurezza conosciuti con il nickname @reecDeep e da @JAMESWT_MHT (già noto per aver individuato la campagna malspam che nel giugno scorso ha distribuito un ransomware camuffato da app Immuni): le analisi pubblicate su Twitter riportano, infatti, la scoperta di una nuova campagna malevola focalizzata sul nostro Paese che punta a far scaricare alla vittima un allegato per il tracking di una presunta spedizione TNT.

Il file in realtà è un eseguibile .NET che, una volta eseguito, avvia la catena infettiva del malware.

404Keylogger, il Malware-as-a-Service: di cosa si tratta

404keylogger, in origine promosso come strumento legittimo per aiutare in modo responsabile all’apprendimento dei keylogger, è molto popolare anche tra i criminali hacker grazie alle sue funzionalità di anti-rilevamento e anti-analisi.

Questo keylogger, infatti, continua a essere disponibile per l’acquisto sul Dark Web come MaaS (Malware-as-a-Service) per le seguenti azioni malevoli:

  • registrare le informazioni digitate dagli utenti e inviare i dati raccolti a un server di comando e controllo;
  • acquisire screenshot del desktop del sistema infettato;
  • raccogliere dati FTP e credenziali di accesso;
  • utilizzo come testa di ponte per installare altri eseguibili tramite predeterminati indirizzi URL.

Durante l’esecuzione, in base alla sua configurazione potrebbe quindi causare infezioni a catena scaricando ransomware, backdoor e quant’altro.

Un volta installato, per guadagnare persistenza nel sistema della vittima, 404keylogger riedita file di sistema e voci di registro in modo da potersi avviare automaticamente durante l’avvio del sistema operativo, eludere eventuali controlli antivirus e procedere, così, indisturbato con le sue funzionalità di infostealer.

Risulta pertanto di fondamentale importanza, qualora il nostro sistema risultasse infetto, provvedere alla sua rimozione quanto prima.

Analisi della campagna malspam italiana

WEBINAR - 3 NOVEMBRE
CISO as a Service: perché la tua azienda ha bisogno di un esperto di Cyber Security?
Sicurezza
Cybersecurity

Nello specifico, dall’analisi di un campione della campagna italiana in esame, l’e-mail avente per oggetto “la tua spedizione e i dettagli dell’imballaggio…” inviterebbe, con un messaggio semplice e diretto, a scaricare e aprire l’allegato in cui il malware, noto anche come Matiex, risulta annidato e offuscato all’interno di diversi processi figli con il reale obiettivo di spiare la vittima e rubare informazioni.

Dall’approfondimento degli analisti del CERT-Agid emergono ulteriori e interessanti dettagli.

All’avvio del processo, il malware recupera informazioni relative alla macchina target (computer name, sistema, piattaforma, disk space, RAM space), ai browser e ai client di posta elettronica della vittima. Subito dopo, attiva una serie di timer che con cadenza costante avviano delle funzioni così predefinite:

  • ClipboardLoggerTimer (copia i dati memorizzati in clipboard);
  • ScreenshotLoggerTimer (effettua screenshot);
  • KeyboardLoggerTimer (cattura i caratteri digitati dall’utente);
  • VoiceRecordLogger (modulo di registrazione vocale);
  • processhackerFucked (enumera i processi e verifica se è in esecuzione il tool Process Hacker).

Infine, con un ulteriore timer ThePSWDSenders, 404keylogger si occupa di inviare al proprio server C2 tutti i dati carpiti alla casella e-mail info.center3@ebop.website attraverso il protocollo SMTP.

Interessante notare come il codice prevederebbe anche altre due modalità per contattare il server C2 (via FTP e Telegram), ma che non risultano attive sul campione esaminato.

Come prevenire l’infezione di 404keylogger

Per la diffusione di 404keylogger possono essere utilizzate molteplici tattiche ingannevoli, ispirate all’arte dell’ingegneria sociale e limitate solo dalla fantasia dei criminal hacker.

Il malware, infatti, può essere diffuso tramite campagne spam come quella italiana, oppure tramite installazioni di terze parti, link torrent, popup sospetti, aggiornamenti di applicazioni installate, dispositivi infetti o condivisione di file P2P.

In ogni caso, i vari escamotage portano tutti verso allegati, link malevoli o file infetti propinati in vari formati ZIP, RAR, EXE, PDF, DOC e Javascript che, una volta eseguiti, avviano il processo di infezione.

In buona sostanza, qualunque sia il modo di distribuzione, le infezioni da 404keylogger non solo possono compromettere l’integrità dei sistemi, ma possono anche arrecare alle vittime gravi problemi di privacy, perdite finanziarie e furti d’identità.

Pertanto, a utenti e organizzazioni si raccomandano i seguenti importanti quanto semplici consigli:

  • non aprire e-mail sospette, irrilevanti e non pertinenti. Utilizzare tecniche di analisi delle e-mail ricevute adottando anche controlli sugli allegati;
  • eseguire download tramite canali ufficiali e verificati;
  • attivare e aggiornare i prodotti con software legittimi. No cracking o aggiornamenti di terze parti;
  • garantire la sicurezza dei dispositivi e la privacy degli utenti attraverso sistemi antivirus affidabili e mantenuti aggiornati;
  • prevedere, per il personale interno, sessioni di security awareness.

Come rimuovere 404keylogger dal proprio sistema

Il processo di rimozione di 404Keylogger può risultare difficile come quello di qualsiasi altro malware, soprattutto a causa delle modifiche fatte alle impostazioni interne al sistema.

Il processo di rimozione manuale di seguito proposto potrebbe richiedere abbastanza tempo e pazienza e si consiglia di attuarlo solo se si possiede familiarità con le configurazioni di sistema, le chiavi di registro e le impostazioni di avvio. Non è comunque garantita la completa rimozione del malware.

Per questo motivo, è sempre consigliabile affidarsi ad una rimozione automatica consentita dai programmi antivirus. Esistono in rete tante soluzioni affidabili.

Guida alla rimozione manuale

Se è stato identificato il processo sospetto correlato all’infostealer 404keylogger/Matiex (il processo potrebbe essere identificato come Gperf: generatfect hash function from a key set, ma il nome potrebbe anche variare), dall’elenco dei programmi in esecuzione del Task Manager di Windows (che si avvia premendo la combinazione dei tasti Win+R e digitando il comando taskmgr.exe nel campo Apri all’interno della finestra che appare), occorre completare i seguenti passaggi:

  1. scaricare ed estrarre Autoruns per Windows v13.98 nella cartella C:/autoruns. Questa utility mostra le applicazioni ad avvio automatico, il registro e il file system;
  2. riavviare il computer in modalità provvisoria (seguendo l’iter previsto dalla versione di Windows in uso sul PC), in modo che il malware all’avvio di Windows, rimanga inattivo;
  3. spostarsi nella cartella C:/autoruns e cliccare due volte su Autoruns.exe;
  4. quando il programma si avvia, cliccare sul menu Opzioni e spuntare le seguenti caselle di controllo: Include empty locations, Verify Code Signatures e Hide Signed Microsoft Entries. Deselezionare, quindi, le voci Hide Empty Locations e Hide Windows Entries options;
  5. cliccare sull’icona di Refresh (oppure premere il tasto F5 sulla tua tastiera) per aggiornare la lista dei programmi di avvio e le nuove impostazioni;
  6. il programma mostra le informazioni sulle voci di avvio in diverse schede. Solitamente il nome del file incriminato dovrebbe trovarsi sotto le schede Logon e Services, riportato nella colonna image path (si consiglia, comunque, di visualizzare tutte le schede). Questa fase è molto delicata perché alcuni malware nascondono i nomi dei propri processi sotto nomi di processi Windows legittimi. Pertanto, bisogna prestare attenzione a non eliminare file di sistema vitali;
  7. una volta trovata la voce associata, per cancellarla in modo che al riavvio successivo essa non si attivi e riparta, cliccare col tasto destro del mouse sulla voce stessa e selezionare Elimina;
  8. una volta rimossa la chiave di registro, bisognerà anche eliminare i file incriminati dal proprio computer attraverso Esplora risorse prestando attenzione ad abilitare la visualizzazione di file e cartelle nascosti;
  9. dopo che le chiavi di registro e i relativi file sono stati rimossi, riavviare il PC in modalità normale. Se tutto è andato per il verso giusto, l’infezione non si ripresenterà più e il PC sarà stato ripulito dal malware 404keylogger.
WHITEPAPER
Come semplificare il sistema di gestione delle identità digitali?
Sicurezza
IAM

@RIPRODUZIONE RISERVATA

Articolo 1 di 5