Nuovi virus mutanti che si autogenerano stanno mettendo a rischio i servizi di mostra elettronica di milioni di utenti.
A lanciare l’allarme su una forma di virus della famiglia URSNIF, una campagna di malspam molto efficace per la consegna di virus trojan, è Libraesva.
La società italiana specializzata nella fornitura di soluzioni avanzate di email security ha posto l’attenzione sulla nuova di virus che, nelle ultime settimane, sta facendo incetta di account email, inserendosi in thread di comunicazione attivi così come di quelli passati o archiviati.
Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che, quindi, continua a propagarsi senza che né i mittenti né le vittime se ne accorgano.
Il pericolo dei trojan mutanti è tra noi
URSNIF è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali. Il malware stesso continua a cambiare nel tempo. Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware” che renderebbe più difficile per il destinatario rilasciarle.
Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono così convinti che si tratti di una email legittima che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente. A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga.
Il messaggio contiene pochissime parole, del tipo: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti” seguito dalla firma reale dell’account infetto e dal thread di posta elettronica esistente.
La frase è scritta in un italiano sbagliato ma questo non sembra comprometterne l’efficacia.
L’allegato, solitamente denominato Richiesta.doc è un documento word che finge di essere stato creato con una versione precedente di Microsoft Office e, come di consueto, invita l’utente ad abilitare le macro.
Le macro sono offuscate, continuano a cambiare per non essere scoperte dai sistemi basati su firma e pattern e contengono un’azione di AutoOpen che esegue uno script powerhell che scarica e installa il payload.
I motori antivirus stanno rilasciando ogni giorno centinaia di nuove regole di rilevamento per questi campioni in continua evoluzione, ma la latenza del processo garantisce la consegna di molti campioni che non sono ancora stati identificati dai motori antivirus. Questa campagna, così come altre campagne di malware come Emotet, ad esempio, ha un dropper in continua evoluzione che evidenzia tutti i limiti degli approcci di difesa basati su firme e modelli.
Queste email vengono messe in quarantena dai controlli del contenuto e gli allegati vengono bloccati o disarmati dai servizi capaci di rimuovere il codice attivo quando sono presenti le operazioni tipiche che abilitano la funzionalità del dropper.
Tuttavia, la componente di phishing è così forte che alcuni utenti volontariamente aggirano tutti i controlli di sicurezza e vengono comunque infettati.