Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download e l’esecuzione del malware.

Hancitor

Hancitor è un loader, ovvero un malware il cui compito è quello di scaricare (o estrarre) ed eseguire un secondo malware per il controllo della macchina. Nel caso di Hancitor, diversi team di ricerca hanno individuato come payload FickerStealer, Sendsafe, e i Beacon di Cobalt Strike.

Il malware viene individuato sotto forma di documenti Word o fogli di lavoro Excel contenenti un file DLL e le macro necessarie all’estrazione e l’esecuzione della stessa tramite il programma Microsoft RunDll32.exe.

FickerStealer

FickerStealer è un Malware-as-a-Service (MaaS). Questa tipologia di malware viene offerta ai gruppi criminali affiliati al gruppo degli sviluppatori e prevede il pagamento di una quota di accesso per l’utilizzo (limitato temporalmente) del malware.

Nel caso di FickerStealer, il prodotto è stato pubblicizzato su forum russi nella seconda metà del 2020 e sono stati aperti canali dedicati al supporto sull’utilizzo dello stesso su Telegram. Nello specifico, come osservato dal CERT-AGID, i prezzi variano da 90$ per una settimana fino a 900$ per sei mesi di attività.

Il malware fa parte della famiglia degli Info-Stealer ed è stato progettato per il furto di credenziali e dati sensibili presenti nel sistema operativo, nei browser installati e in altri software come WinSCP, FileZilla, Steam, Discord e ThunderBird.

In aggiunta, FickerStealer enumera i crypto-wallet presenti nella cartella C:\Users\<Nome utente>\AppData\Roaming del sistema e non viene eseguito se la lingua del sistema è una delle seguenti:

  • ru-RU (Russia)
  • be-BY (Bielorussia)
  • uz-UZ (Uzbekistan)
  • ua-UA (Ucraina)
  • hy-AM (Armenia)
  • kk-KZ (Kazakistan)
  • az-AZ (Azerbaigian)

Analisi Statica

File DLL

Tag

FickerStealer Hancitor

Dettagli

md552DED1336D56FBA0AE37CEEE4F985153
sha1E100B3D171D68FA4EFBC0AEEBB301C9FFBD7735D
sha256385FC925B1AAF4B86AEAB9C368B6A101AB338B73D166CC7454162924A3B1D40E
File Size249856 bytes
Entropy4.317
VirusTotalScore: 35/62

Descrizione

File DLL estratto dal documento XLS malevolo. Il suo funzionamento consiste nell’avvio del malware FickerStealer

Indicatori di Compromissione

Di seguito vengono elencati gli Indicatori di Compromissione messi a disposizione dal CERT-AGID.

MD5

  • 4fcb584cd86c3a04b7e3357922204cb5
  • 338378927b00cbe6aa8c6620057755f9
  • 24190cd699631d16521dfb588b2571a3
  • 270c3859591599642bd15167765246e3

Sha1

  • e227a8a338166dc97e360ca9cddda5e007079c58
  • 3fd7b142d7e0dc0ae8350197585c2d0744027c1c
  • 546a86929e82babd0ee6f970d7729e3bf6a14698

Sha256

  • 99c4b9083ed613bc38904eec3e37d24d3ca092067ee54e373cc3c8d6339857a6
  • e746a6d562555f4d2f840727c9a9f8967dddcf100bd8d5f48a6209b76dd43375
  • fe62ee36d2ee6bedf3181beb5880115696396a51fe65870ade1a0af60a22f128
  • dee4bb7d46bbbec6c01dc41349cb8826b27be9a0dcf39816ca8bd6e0a39c2019

Domini

  • anithedtatione[.]ru
  • falan4zadron[.]ru
  • pospvisis[.]com
  • bahujansangam[.]org
  • feedproxy[.]google[.]com
  • wiltuslads[.]ru
  • feedproxy[.]google[.]com
  • feedproxy[.]google[.]com
  • thervidolown[.]com
  • feedproxy[.]google[.]com

URL

  • hxxp://anithedtatione[.]ru/8/forum[.]php
  • hxxp://falan4zadron[.]ru/7hsjfd9w4refsd[.]exe
  • hxxp://pospvisis[.]com
  • hxxps://bahujansangam[.]org/insaneity[.]php
  • hxxp://feedproxy[.]google[.]com/~r/niqab/~3/SvG763Rcjf8/contagion[.]php
  • hxxp://wiltuslads[.]ru/8/forum[.]php
  • hxxp://feedproxy[.]google[.]com/~r/ddebvhnpl/~3/r564Ba1JvaM/haggle[.]php
  • hxxp://feedproxy[.]google[.]com/~r/hvkrnawm/~3/A_mGDDju4y8/insaneity[.]php
  • hxxp://thervidolown[.]com/8/forum[.]php
  • hxxp://feedproxy[.]google[.]com/~r/xrhjqrnh/~3/QrS209hUWag/hoping[.]php

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]