BitDefender®, noto fornitore di soluzioni innovative di sicurezza internet, ha messo a disposizione un tool di rimozione gratuito per il Backdoor.Lavandos.A, un complesso malware in grado di rubare password di FTP e servizi di e-banking in maniera assolutamente discreta. Nonostante il suo obiettivo principale sia il sistema di e-banking utilizzato in particolare dagli istituti russi e ucraini, Lavandos non si limita a rubare le password di e-banking, ma cerca e trafuga tutti i dati privati dagli account dell’utente del computer infetto.
“La particolarità di questa minaccia online è il fatto che i suoi driver non rimangono sul disco più del necessario”, afferma Catalin Cosoi, responsabile del BitDefender Online Threats Lab. “Questi driver vengono inseriti nel Windows® Registry immediatamente dopo aver completato il proprio compito per mantenere un basso profilo”. Poco dopo l’infezione, Backdoor.Lavandos.A genera - per ogni browser trovato sul PC attaccato - un “setupapi.dll” nella cartella di installazione root di Mozilla® Firefox®, Opera® e Internet Explorer® per consentire una semplice manipolazione delle funzioni del browser con lo scopo di importare certificati o accettare un certificato già firmato come autentico.
Un altro file DLL verrà creato in C: \ windows \ system32 \ sfcfiles.dll. Il file originale sfcfiles.dll pulito è crittografato e aggiunto come un valore al Registro di sistema in HKEY_LOCAL_MACHINE \ SOFTWARE \ Settings \ CryptoHash. Inoltre, viene aggiunto anche tosfcfiles.dat. Al fine di eliminare ogni sospetto, sfcfiles.dll modificato ed infetto avrà la stessa dimensione e gli attributi del file originale. L'elemento di Lavandos creerà anche un driver in % windir% \ system32 \ drivers \ sfc.sys. Tuttavia - e questo è l'aspetto estremamente interessante di questo particolare tipo di malware - il driver non rimarrà sul disco più del necessario.
Verrà memorizzato nel registro di Windows, invece, come dati binari, per motivi discrezione. I file dll sono utilizzati dal malware per aggiornare automaticamente i driver e caricarli quando necessario. Memorizzare il driver nel Registro di sistema riduce drasticamente le possibilità di programmi di utilità antivirus di rilevarlo e rimuoverlo. Il codice di aggiornamento viene scaricato dagli URL hardcoded che vengono crittografati e memorizzati in HKLM \ SOFTWARE \ Settings \ HashSeed. I laboratori di BitDefender hanno rilevato che l'aggiornamento viene scaricato da più domini e prende il nome dal seguente schema:
Un altro file DLL verrà creato in C: \ windows \ system32 \ sfcfiles.dll. Il file originale sfcfiles.dll pulito è crittografato e aggiunto come un valore al Registro di sistema in HKEY_LOCAL_MACHINE \ SOFTWARE \ Settings \ CryptoHash. Inoltre, viene aggiunto anche tosfcfiles.dat. Al fine di eliminare ogni sospetto, sfcfiles.dll modificato ed infetto avrà la stessa dimensione e gli attributi del file originale. L'elemento di Lavandos creerà anche un driver in % windir% \ system32 \ drivers \ sfc.sys. Tuttavia - e questo è l'aspetto estremamente interessante di questo particolare tipo di malware - il driver non rimarrà sul disco più del necessario.
Verrà memorizzato nel registro di Windows, invece, come dati binari, per motivi discrezione. I file dll sono utilizzati dal malware per aggiornare automaticamente i driver e caricarli quando necessario. Memorizzare il driver nel Registro di sistema riduce drasticamente le possibilità di programmi di utilità antivirus di rilevarlo e rimuoverlo. Il codice di aggiornamento viene scaricato dagli URL hardcoded che vengono crittografati e memorizzati in HKLM \ SOFTWARE \ Settings \ HashSeed. I laboratori di BitDefender hanno rilevato che l'aggiornamento viene scaricato da più domini e prende il nome dal seguente schema:
- http://mv [rimosso] r.com / vito / page.php,
- http://at [rimosso] an.org / Vito / page.php,
- http://s [rimosso] ler.net / Vito / page.php,
- http://se [rimosso] dm.cn / vito / page.php,
- http://a [rimosso] 0.net/vito/page.php,
- http://g [rimosso] ks.com/ole21/page.php.
Quando la lib.dll carica il driver, i dati vengono salvati nel Registro di sistema sotto il valore di HKLM \ SOFTWARE \ Settings \ DriveSettings decifrato e scritto sul disco nel file: c: \ windows \ system32 \ drivers \ sfc.sys. Subito dopo il driver viene caricato in memoria, e il file viene eliminato. La cosa è particolarmente interessante del cavallo di Troia è il fatto che esso scaricherà altri 15 file dll tutti chiamati dll.dll che non saranno memorizzati sul disco, ma come dati binari nel registro di Windows.
 |
Il primo file dll.dll comunica continuamente con il server. L'obiettivo è quello di mantenere gli indirizzi del server permanentemente aggiornati. Lavandos invia i dati di identificazione (indirizzo IP, porte e hostname) del computer sequestrato insieme con le informazioni raccolte per il server C and C. Questo file dll raccoglie anche i nomi utente e password da siti di e-banking agganciando gli InternetOpenA del browser e le funzioni InternetopenW. Quando viene intercettata con successo una combinazione di login, memoriiza gli hash dei dati nel Registro di sistema sotto la HKLK \ Software \ Microsoft \ Windows key.
Ogni volta che si arriva con successo ad un username e una password, invierà tutti i contenuti della suddetta chiave del Registro di sistema tramite una richiesta POST al server C and C. Il secondo file dll.dll intercetta le informazioni FTP sull'account come hostname, IP, porta di destinazione, il nome utente e password, che potranno anche essere criptati (questa volta usando Base64) e memorizzati nello stesso Registro di sistema. Il terzo file dll.dll cerca le chiavi di registro create da specifici software client FTP e cerca di leggere le chiavi di registro utilizzate distintamente da ogni applicazione per "memorizzare" le credenziali di connessione. La DLL è in grado di riconoscere 14 delle più importanti applicazioni freeware e commerciali FTP, garantendo un alto tasso di successo.
Il quarto file dll è un keylogger che si aggancia alla funzione TranslateMessage, intercetta il tasto premuto e lo memorizza in un buffer. Inoltre, "legge" il nome della classe della finestra in primo piano, se chiamata "java.sun.awt.bifit" (bifit - tecnologie and banking; e delle finanze su Internet), il malware effettua uno screenshot e lo salva negli appunti. Alcuni dei file dll.dll sono intercettate da altre funzioni in varie applicazioni bancarie proprietarie e vengono anche utilizzate per manipolare le funzioni del browser per importare i certificati o per considerare un certificato auto-firmato come attendibile.
Anche se il file backdoor non distribuisce un rootkit driver, riesce a sovvertire le funzioni critiche di Windows e compromette il browser e il client FTP di sicurezza. Questo difficile tipo di malware gioca tutte le sue carte sull'assoluta stealth (incognita), mantenendo un assoluto minimo di file scritti su disco e mantenendo all'essenziale la trasmissione dei dati. Gli utenti colpiti dal Lavados rischiano di rivelare informazioni riservate relative ai servizi di e-banking, così come di essere derubati dei propri account FTP da cybercriminali impegnati in piani di diffusione di malware. I clienti di BitDefender sono stati protetti a partire dal primo giorno dell’attacco attraverso delle routine generiche incluse nel database delle firme. Chi non è protetto da un prodotto BitDefender può scaricare gratuitamente un tool di rimozione[1] dalla sezione Downloads di MalwareCity.com. NOTA [1]: Alcuni antivirus potrebbero interpretarlo come un malware. In questo caso aggiungerlo ai file sicuri.
Nessun commento:
Posta un commento