Allerta malware. Il nuovo virus, battezzato dai ricercatori 'AVE_MARIA' da una stringa all’interno del codice, si comporta come un tipico bot per il furto di informazioni.
L'analisi statica del codice ha rilevato che "è in grado di catturare le credenziali di posta elettronica della vittima da Microsoft Exchange Client o Outlook e decifrare tutte le password memorizzate dal browser Mozilla Firefox" fanno sapere gli esperti del CERT, aggiungendo che i ricercatori di Cybaze-Yoroi ZLab hanno analizzato questa "campagna di phishing, individuata alla fine dello scorso anno e mirata ad un’azienda italiana che opera nel settore energetico" attraverso mail che apparivano come "provenienti da un fornitore e simulavano l'invio di fatture e conferme di spedizione di materiali".
COME AGISCE - "Il malware - aggiungono gli esperti - contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe". Come opera questo bot? "Per prima cosa contatta un server C&C da cui riceve istruzioni sulla successiva azione da eseguire" ma "il server controllato dagli attaccanti non è più al momento attivo" si legge.
LE MAIL - Le email, riporta il CERT - Computer Emergency Response Team, "contenevano allegati malevoli in formato Microsoft Excel, appositamente predisposti per scaricare ed eseguire un malware da un sito web compromesso", "sfruttando la vulnerabilità nota CVE-2017-11882, già corretta da Microsoft con un aggiornamento fuori banda il 28 novembre del 2017. I domini utilizzati in questa campagna sono rimasti attivi solo per pochi giorni attorno alla metà di dicembre 2018".
L'INFEZIONE - "La catena di infezione - proseguono gli esperti - ha inizio quando la vittima apre il documento Excel malevolo che, a sua volta, scarica sulla macchina bersaglio un archivio WinRAR auto-estraente configurato per decomprimere il suo contenuto nella cartella '%TEMP%\04505187' e lanciare una specifica routine di configurazione".
DATI SPAZZATURA - "Tutti i file scaricati - si legge ancora - hanno estensioni non correlate al loro contenuto allo scopo di sviare l'analisi e la maggior parte di questi contengono dati 'spazzatura'", tranne i file 'xfi.exe' (interprete in grado di eseguire un programma col linguaggio di scripting AutoIt); 'hbx=lbl:' (primo script AutoIt offuscato) e 'uaf.icm:' (file in formato INI contenente tutti i parametri di configurazione del malware tra cui la cartella di installazione, il nome dell’interprete e altri parametri utilizzati negli stadi successivi dell’infezione)".