L'ANALISI TECNICA

MassLogger, il keylogger che ruba credenziali e dati sensibili: Italia nel mirino

Si chiama MassLogger un nuovo keylogger da poco apparso nel panorama dei malware in grado di rubare credenziali di accesso e dati sensibili alle vittime. Si diffonde tramite campagne di phishing e, dalle analisi effettuate, potrebbe colpire anche in Italia. Ecco tutti i dettagli

12 Giu 2020
Paolo Tarsitano

Editor Cybersecurity360.it


Si chiama MassLogger una nuova variante di malware venduta sui forum underground (a buon mercato da un certo NYANxCAT: una licenza a vita costa 45 dollari) e pubblicizzata tramite video di YouTube. Si tratta di un keylogger il cui codice malevolo è scritto in .NET e presenta funzionalità di infostealer e spyware per rubare credenziali di accesso e spiare le vittime, con una varietà di routine per il furto di dati sensibili agli utenti.

Finora sono pochi i campioni isolati del malware, ma dalle prime indagini sembrerebbe che i criminal hacker utilizzino e-mail di phishing per distribuirlo in maniera rapida e massiva. Anche se alcune parti di codice analizzato lasciano supporre anche una capacità di diffusione del malware via USB.

Secondo gli analisti del CERT-AgID, al momento MassLogger non risulta essere stato usato in campagne su obiettivi italiani ma, vista la facilità con cui è possibile acquistarlo online e la sua estrema modularità che consente di attivare o disattivare determinate funzioni, non è difficile ipotizzare il suo utilizzo anche nello scenario italiano.

MassLogger: tutti i dettagli tecnici

Una delle caratteristiche più pericolose di MassLogger è la sua velocità di aggiornamento: secondo i ricercatori di CoFense, il malware viene costantemente migliorato con l’aggiunta di nuove funzionalità anche in risposta ai feedback dei “clienti”, che così si ritrovano tra le mani uno strumento molto efficace in grado di superare facilmente le misure di sicurezza adottate per individuarlo e difendersi da esso.

Ad esempio, uno dei campioni di MassLogger isolato dai ricercatori è stato distribuito via e-mail come un file eseguibile GuLoader criptato, cioè un downloader molto utilizzato ultimamente come meccanismo di distribuzione di malware e per scaricare payload crittografati ospitati su piattaforme di file sharing legittime.

Una caratteristica, questa, che accomuna MassLogger all’altrettanto pericoloso keylogger AgentTesla: segno che gli attori della minaccia potrebbero essere gli stessi o in qualche modo potrebbero collaborare tra di loro.

In particolare, come evidenziato dal CERT-AgID, il campione analizzato era contenuto all’interno di due packer .NET (uno, CyaX, è stato già utilizzato in precedenti campagne malevoli e quindi conosciuto) accomunati dalle tecniche di occultazione del proprio payload. Un escamotage, quello di utilizzare due packer separati che serve a rallentare l’analisi del codice malevolo in quanto il primo packer ha le risorse contenenti il payload finale (e un assembly secondario per la decodifica dell’altro packer), ma è il secondo packer che ne esegue l’estrazione.

DIGITAL EVENT 9 SETTEMBRE
Cyber Security: tra tecnologia e cultura del dato. Ecco cosa fanno i Security People
Legal
Sicurezza

Sempre il secondo packer, inoltre, viene caricato nel contesto del primo ottenendo così l’accesso a tutte le risorse di sistema già acquisite da quest’ultimo, a partire da un buffer di dati e non è quindi possibile debuggarlo passo passo: si riesce a farlo utilizzando il tool dnSpy di reverse engineering .NET che permette di ricompilare i metodi di una classe. Reso “debuggabile” il secondo packer, il dump del payload finale, ovvero MassLogger, a quel punto è banale.

I consigli per prevenire una possibile infezione

Secondo i ricercatori di sicurezza, MassLogger ha tutte le carte in regola per diffondersi facilmente e anche molto velocemente, e rimarrà in vita almeno per i prossimi mesi.

Poiché il vettore di diffusione “predefinito” è rappresentato dalle e-mail di phishing, si raccomanda quindi di tenere d’occhio i messaggi di posta elettronica sospetti o inviati da contatti sconosciuti. Ricordiamo, infatti, che gli allegati di posta elettronica dannosi sono ancora il modo più diffuso per distribuire malware.

Poiché, inoltre, MassLogger potrebbe essere in grado di diffondersi anche via USB, è consigliabile installare sul proprio computer un valido software antivirus e attivare la funzione di controllo sulle periferiche di archiviazione esterne.

È sempre utile, poi, soprattutto in ambito aziendale, prevedere programmi di security awareness per consentire ai dipendenti e a tutti gli utenti dell’organizzazione di rimanere aggiornati sull’attuale panorama delle minacce ed essere quindi in grado di difendersi in modo proattivo dalle minacce alla sicurezza informatica.

Infine, gli amministratori di sistema possono fare riferimento ai seguenti IoC (Indicatori di Compromissione) per cercare di individuare i payload malevoli:

  • Sha256
  1. 8978b5eb14061436a8d2249f9c92ac75d8307c83a09ea7aa3e6572f704b4335f
  2. c994eb9b388217d028184b271dbd7fa098e0488f24af28d5a4ead55bf0c1a92f
  3. 25fa4b1716f5d2995ff28002601f7fd2fc76f03831bcd642b9a2e49e92c42238
  4. 786b5266ae016683f13abe07cb1e99c01b2d617d3ca7518da086571d9f158d1b
  5. 335d39ae0c6e633ba50441e0b482b11d0311d09ad9a286123e6a854660518715

@RIPRODUZIONE RISERVATA

Articolo 1 di 4