Nuova Campagna Malspam per il deploy del Malware FickerStealer

Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download e l’esecuzione del malware.

Hancitor

Hancitor è un loader, ovvero un malware il cui compito è quello di scaricare (o estrarre) ed eseguire un secondo malware per il controllo della macchina. Nel caso di Hancitor, diversi team di ricerca hanno individuato come payload FickerStealer, Sendsafe, e i Beacon di Cobalt Strike.

Il malware viene individuato sotto forma di documenti Word o fogli di lavoro Excel contenenti un file DLL e le macro necessarie all’estrazione e l’esecuzione della stessa tramite il programma Microsoft RunDll32.exe.

FickerStealer

FickerStealer è un Malware-as-a-Service (MaaS). Questa tipologia di malware viene offerta ai gruppi criminali affiliati al gruppo degli sviluppatori e prevede il pagamento di una quota di accesso per l’utilizzo (limitato temporalmente) del malware.

Nel caso di FickerStealer, il prodotto è stato pubblicizzato su forum russi nella seconda metà del 2020 e sono stati aperti canali dedicati al supporto sull’utilizzo dello stesso su Telegram. Nello specifico, come osservato dal CERT-AGID, i prezzi variano da 90$ per una settimana fino a 900$ per sei mesi di attività.

Il malware fa parte della famiglia degli Info-Stealer ed è stato progettato per il furto di credenziali e dati sensibili presenti nel sistema operativo, nei browser installati e in altri software come WinSCP, FileZilla, Steam, Discord e ThunderBird.

In aggiunta, FickerStealer enumera i crypto-wallet presenti nella cartella C:\Users\<Nome utente>\AppData\Roaming del sistema e non viene eseguito se la lingua del sistema è una delle seguenti:

• ru-RU (Russia)
• be-BY (Bielorussia)
• uz-UZ (Uzbekistan)
• ua-UA (Ucraina)
• hy-AM (Armenia)
• kk-KZ (Kazakistan)
• az-AZ (Azerbaigian)

Analisi Statica

File DLL

Tag

FickerStealer Hancitor

Dettagli

Descrizione

File DLL estratto dal documento XLS malevolo. Il suo funzionamento consiste nell’avvio del malware FickerStealer

Indicatori di Compromissione

Di seguito vengono elencati gli Indicatori di Compromissione messi a disposizione dal CERT-AGID.

MD5

• 4fcb584cd86c3a04b7e3357922204cb5
• 338378927b00cbe6aa8c6620057755f9
• 24190cd699631d16521dfb588b2571a3
• 270c3859591599642bd15167765246e3

Sha1

• e227a8a338166dc97e360ca9cddda5e007079c58
• 3fd7b142d7e0dc0ae8350197585c2d0744027c1c
• 546a86929e82babd0ee6f970d7729e3bf6a14698

Sha256

• 99c4b9083ed613bc38904eec3e37d24d3ca092067ee54e373cc3c8d6339857a6
• e746a6d562555f4d2f840727c9a9f8967dddcf100bd8d5f48a6209b76dd43375
• fe62ee36d2ee6bedf3181beb5880115696396a51fe65870ade1a0af60a22f128
• dee4bb7d46bbbec6c01dc41349cb8826b27be9a0dcf39816ca8bd6e0a39c2019

Domini

• anithedtatione[.]ru
• falan4zadron[.]ru
• pospvisis[.]com
• bahujansangam[.]org
• feedproxy[.]google[.]com
• wiltuslads[.]ru
• feedproxy[.]google[.]com
• feedproxy[.]google[.]com
• thervidolown[.]com
• feedproxy[.]google[.]com

URL

• hxxp://anithedtatione[.]ru/8/forum[.]php
• hxxp://falan4zadron[.]ru/7hsjfd9w4refsd[.]exe
• hxxp://pospvisis[.]com
• hxxps://bahujansangam[.]org/insaneity[.]php
• hxxp://feedproxy[.]google[.]com/~r/niqab/~3/SvG763Rcjf8/contagion[.]php
• hxxp://wiltuslads[.]ru/8/forum[.]php
• hxxp://feedproxy[.]google[.]com/~r/ddebvhnpl/~3/r564Ba1JvaM/haggle[.]php
• hxxp://feedproxy[.]google[.]com/~r/hvkrnawm/~3/A_mGDDju4y8/insaneity[.]php
• hxxp://thervidolown[.]com/8/forum[.]php
• hxxp://feedproxy[.]google[.]com/~r/xrhjqrnh/~3/QrS209hUWag/hoping[.]php