Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download e l’esecuzione del malware.
Hancitor
Hancitor è un loader, ovvero un malware il cui compito è quello di scaricare (o estrarre) ed eseguire un secondo malware per il controllo della macchina. Nel caso di Hancitor, diversi team di ricerca hanno individuato come payload FickerStealer, Sendsafe, e i Beacon di Cobalt Strike.
Il malware viene individuato sotto forma di documenti Word o fogli di lavoro Excel contenenti un file DLL e le macro necessarie all’estrazione e l’esecuzione della stessa tramite il programma Microsoft RunDll32.exe.
FickerStealer
FickerStealer è un Malware-as-a-Service (MaaS). Questa tipologia di malware viene offerta ai gruppi criminali affiliati al gruppo degli sviluppatori e prevede il pagamento di una quota di accesso per l’utilizzo (limitato temporalmente) del malware.
Nel caso di FickerStealer, il prodotto è stato pubblicizzato su forum russi nella seconda metà del 2020 e sono stati aperti canali dedicati al supporto sull’utilizzo dello stesso su Telegram. Nello specifico, come osservato dal CERT-AGID, i prezzi variano da 90$ per una settimana fino a 900$ per sei mesi di attività.
Il malware fa parte della famiglia degli Info-Stealer ed è stato progettato per il furto di credenziali e dati sensibili presenti nel sistema operativo, nei browser installati e in altri software come WinSCP, FileZilla, Steam, Discord e ThunderBird.
In aggiunta, FickerStealer enumera i crypto-wallet presenti nella cartella C:\Users\<Nome utente>\AppData\Roaming del sistema e non viene eseguito se la lingua del sistema è una delle seguenti:
- ru-RU (Russia)
- be-BY (Bielorussia)
- uz-UZ (Uzbekistan)
- ua-UA (Ucraina)
- hy-AM (Armenia)
- kk-KZ (Kazakistan)
- az-AZ (Azerbaigian)
Analisi Statica
File DLL
Tag
FickerStealer Hancitor
Dettagli
md5 | 52DED1336D56FBA0AE37CEEE4F985153 |
sha1 | E100B3D171D68FA4EFBC0AEEBB301C9FFBD7735D |
sha256 | 385FC925B1AAF4B86AEAB9C368B6A101AB338B73D166CC7454162924A3B1D40E |
File Size | 249856 bytes |
Entropy | 4.317 |
VirusTotal | Score: 35/62 |
Descrizione
File DLL estratto dal documento XLS malevolo. Il suo funzionamento consiste nell’avvio del malware FickerStealer
Indicatori di Compromissione
Di seguito vengono elencati gli Indicatori di Compromissione messi a disposizione dal CERT-AGID.
MD5
- 4fcb584cd86c3a04b7e3357922204cb5
- 338378927b00cbe6aa8c6620057755f9
- 24190cd699631d16521dfb588b2571a3
- 270c3859591599642bd15167765246e3
Sha1
- e227a8a338166dc97e360ca9cddda5e007079c58
- 3fd7b142d7e0dc0ae8350197585c2d0744027c1c
- 546a86929e82babd0ee6f970d7729e3bf6a14698
Sha256
- 99c4b9083ed613bc38904eec3e37d24d3ca092067ee54e373cc3c8d6339857a6
- e746a6d562555f4d2f840727c9a9f8967dddcf100bd8d5f48a6209b76dd43375
- fe62ee36d2ee6bedf3181beb5880115696396a51fe65870ade1a0af60a22f128
- dee4bb7d46bbbec6c01dc41349cb8826b27be9a0dcf39816ca8bd6e0a39c2019
Domini
- anithedtatione[.]ru
- falan4zadron[.]ru
- pospvisis[.]com
- bahujansangam[.]org
- feedproxy[.]google[.]com
- wiltuslads[.]ru
- feedproxy[.]google[.]com
- feedproxy[.]google[.]com
- thervidolown[.]com
- feedproxy[.]google[.]com
URL
- hxxp://anithedtatione[.]ru/8/forum[.]php
- hxxp://falan4zadron[.]ru/7hsjfd9w4refsd[.]exe
- hxxp://pospvisis[.]com
- hxxps://bahujansangam[.]org/insaneity[.]php
- hxxp://feedproxy[.]google[.]com/~r/niqab/~3/SvG763Rcjf8/contagion[.]php
- hxxp://wiltuslads[.]ru/8/forum[.]php
- hxxp://feedproxy[.]google[.]com/~r/ddebvhnpl/~3/r564Ba1JvaM/haggle[.]php
- hxxp://feedproxy[.]google[.]com/~r/hvkrnawm/~3/A_mGDDju4y8/insaneity[.]php
- hxxp://thervidolown[.]com/8/forum[.]php
- hxxp://feedproxy[.]google[.]com/~r/xrhjqrnh/~3/QrS209hUWag/hoping[.]php