Il cyber crime non si ferma e nella sua sfida infinita contro la cyber security punta ancora una volta a rimescolare le carte in tavola con il nuovo e pericolosissimo trojan PyVil.
Secondo una recente ricerca, il gruppo di criminal hacker Evilnum – da tempo specializzato nel prendere di mira aziende del settore IT e finanziario – ha appena introdotto questo temibile malware.
Basato sul linguaggio Python, il RAT (Remote Access Trojan) PyVil segnala un forte cambiamento nel modus operandi di questo gruppo APT, segnale che potrebbe essere solo il precursore di un trend che potrebbe presto allargarsi a molti altri gruppi di criminal hacker.
Cosa rende PyVil così temibile
Il RAT PyVil consente agli aggressori di estrarre i dati, eseguire keylogging, fare screenshot e lanciare strumenti secondari per la raccolta delle credenziali come LaZagne (un’applicazione open source utilizzata per recuperare le password memorizzate su un computer in locale).
La differenza nell’utilizzo di questo RAT è nella tecnica altamente specializzata e targettizzata impiegata dai criminal hacker per diffondere il trojan.
I criminal hacker stanno prendendo di mira le aziende del FinTech in tutta Europa tramite e-mail di spear-phishing che utilizzano come esca le normative KYC (Know Your Customer regulations).
Per KYC si intende un processo di riconoscimento utilizzato dalle aziende per verificare l’identità dei propri clienti e valutare potenziali rischi o intenzioni illegali nel rapporto con il cliente.
Il processo Know Your Customer funziona in modo tale da consentire a due società di condividere informazioni proprietarie l’una sull’altra durante il processo di verifica per garantire che nessuna delle due parti sia coinvolta in corruzione, riciclaggio di denaro e via dicendo.
I nuovi trucchi malevoli usati da PyVil
Ma non è solo l’esca a cambiare nella metodologia d’attacco di Evilnum. Con il “debutto” del loro nuovo trojan PyVil, i criminal hacker hanno implementato anche nuove specifiche tecniche utilizzate nel diffondere il trojan.
La catena di infezione è cambiata per includere una routine di consegna multi-processo per il payload – invece di affidarsi a un primo stadio di JavaScript Trojan con capacità backdoor per stabilire un punto d’appoggio iniziale su un bersaglio.
All’interno di questo processo, il gruppo utilizza versioni modificate di file .exe legittimi nel tentativo di offuscare i propri tentativi e non essere rilevato dalle soluzioni di sicurezza.
In passato Evilnum si era già affidato alle e-mail di spear-phishing contenenti archivi ZIP che contenevano file LNK. I file LNK sono mascherati da foto di patenti di guida, carte di credito e bollette; ma quando un bersaglio clicca, viene automaticamente avviato il trojan JavaScript di Evilnum, che si connette al C2 e mette in moto il suo lavoro di spyware.
Questo JavaScript ha funzionalità come caricare e scaricare file, rubare cookie, raccogliere informazioni antivirus, eseguire comandi e altro ancora.
La nuova routine, invece, è multistadio e molto più complessa.
Inizia con l’inserimento di un solo file LNK nell’archivio ZIP allegato a una e-mail. Quando il file LNK viene eseguito, viene chiamato un file JavaScript diverso, che agisce solo come un dropper di primo livello, senza capacità C2 (il nome del file è ddpp.exe).
L’eseguibile ddpp.exe sembra essere una versione del (legittimo) Java Web Start Launcher di Oracle, modificato per eseguire codice dannoso.
Quando si confronta l’EXE del malware con l’eseguibile originale di Oracle, è possibile osservare una serie di metadati simili tra le due versioni. La differenza principale è che l’eseguibile Oracle originale è firmato, mentre il malware non lo è.
Il dropper crea un’attività pianificata chiamata Dolby Selector Task, che inizia una seconda fase di recupero del payload scompattando il codice shell.
Questo codice shell si connette al C2 utilizzando una richiesta GET, e riceve indietro un altro eseguibile criptato, che viene salvato su disco come fplayer.exe.
Fplayer.exe sembra essere una versione modificata di Stereoscopic 3D driver Installer (anche in questo caso copia di un programma Nvidia). Anche in questo caso, è possibile vedere metadati simili tra i file con l’unica differenza che l’eseguibile originale di Nvidia è firmato, mentre il malware non lo è.
Una volta eseguito, il file fplayer.exe scompatta altri shellcode, che formano la propria connessione C2 e scaricano l’ennesimo payload – l’ultimo pezzo di codice.
Questo viene decifrato, poi caricato in memoria e serve come RAT “senza file”: alias PyVil.
Come difendersi da questa nuova minaccia
Insomma, non c’è dubbio che Evilnum sappia “cosa sta facendo”, modificando costantemente le sue routine per mantenere quel grado di imprevedibilità che rende difficile la rilevazione da parte degli strumenti di sicurezza e dagli esperti di cyber security.
A questo punto sarebbe anche sciocco non aspettarsi che il gruppo continui a far crescere il suo arsenale di strumenti in futuro con tattiche e strumenti più innovativi per permettere loro di passare inosservati.
La buona notizia in questo caso è che, anche se una volta avviato il RAT è un “osso duro”, una semplice, ma esaustiva, campagna di awareness e training in merito ai rischi del phishing – eseguita con la giusta periodicità – scongiura ogni rischio d’infezione.
In questo caso la ricetta per difendersi è già conosciuta: best practice, training e molta attenzione e cautela nell’aprire le mail sospette.
