{"id":2972,"date":"2021-07-26T12:20:46","date_gmt":"2021-07-26T10:20:46","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=2972"},"modified":"2023-09-20T08:23:46","modified_gmt":"2023-09-20T08:23:46","slug":"nuova-campagna-malspam-per-il-deploy-del-malware-fickerstealer","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/nuova-campagna-malspam-per-il-deploy-del-malware-fickerstealer\/","title":{"rendered":"Nuova Campagna Malspam per il deploy del Malware FickerStealer"},"content":{"rendered":"\n

Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam<\/strong><\/em> il cui intento era quello di diffondere il malware FickerStealer<\/em><\/strong> tramite il loader<\/strong><\/em> Hancitor<\/em><\/strong> per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”<\/strong>, contenevano un documento Word<\/strong> o Excel<\/strong> in allegato, all’interno del quale erano registrate delle macro per il download e l’esecuzione del malware.<\/p>\n\n\n\n

Hancitor<\/h2>\n\n\n\n

Hancitor <\/strong>\u00e8 un loader<\/em><\/strong>, ovvero un malware il cui compito \u00e8 quello di scaricare (o estrarre) ed eseguire un secondo malware per il controllo della macchina. Nel caso di Hancitor, diversi team di ricerca hanno individuato come payload<\/em> FickerStealer<\/em><\/strong>, Sendsafe<\/em><\/strong>, e i Beacon<\/em><\/strong> di Cobalt Strike<\/em><\/strong>.<\/p>\n\n\n\n

Il malware viene individuato sotto forma di documenti Word o fogli di lavoro Excel contenenti un file DLL<\/strong> e le macro necessarie all’estrazione e l’esecuzione della stessa tramite il programma Microsoft RunDll32.exe<\/strong>.<\/p>\n\n\n\n

FickerStealer<\/h2>\n\n\n\n

FickerStealer<\/strong> \u00e8 un Malware-as-a-Service (MaaS)<\/strong>. Questa tipologia di malware viene offerta ai gruppi criminali affiliati al gruppo degli sviluppatori e prevede il pagamento di una quota di accesso per l’utilizzo (limitato temporalmente) del malware.<\/p>\n\n\n\n

Nel caso di FickerStealer<\/strong>, il prodotto \u00e8 stato pubblicizzato su forum russi nella seconda met\u00e0 del 2020 e sono stati aperti canali dedicati al supporto sull’utilizzo dello stesso su Telegram. Nello specifico, come osservato dal CERT-AGID, i prezzi variano da 90$ per una settimana fino a 900$ per sei mesi di attivit\u00e0.<\/p>\n\n\n\n

Il malware fa parte della famiglia degli Info-Stealer<\/em><\/strong> <\/em>ed \u00e8 stato progettato per il furto di credenziali e dati sensibili presenti nel sistema operativo, nei browser installati e in altri software come WinSCP, FileZilla, Steam, Discord e ThunderBird. <\/p>\n\n\n\n

In aggiunta, FickerStealer enumera i crypto-wallet presenti nella cartella C:\\Users\\<Nome utente>\\AppData\\Roaming<\/em><\/strong> del sistema e non viene eseguito se la lingua del sistema \u00e8 una delle seguenti:<\/p>\n\n\n\n

    \n
  • ru-RU (Russia)<\/li>\n\n\n\n
  • be-BY (Bielorussia)<\/li>\n\n\n\n
  • uz-UZ (Uzbekistan)<\/li>\n\n\n\n
  • ua-UA (Ucraina)<\/li>\n\n\n\n
  • hy-AM (Armenia)<\/li>\n\n\n\n
  • kk-KZ (Kazakistan)<\/li>\n\n\n\n
  • az-AZ (Azerbaigian)<\/li>\n<\/ul>\n\n\n\n

    Analisi Statica<\/h2>\n\n\n\n

    File DLL<\/h3>\n\n\n\n

    Tag<\/h4>\n\n\n\n

    FickerStealer <\/span> <\/span> Hancitor <\/span><\/span><\/p>\n\n\n\n

    Dettagli<\/h4>\n\n\n\n
    md5<\/td>52DED1336D56FBA0AE37CEEE4F985153<\/td><\/tr>
    sha1<\/td>E100B3D171D68FA4EFBC0AEEBB301C9FFBD7735D<\/td><\/tr>
    sha256<\/td>385FC925B1AAF4B86AEAB9C368B6A101AB338B73D166CC7454162924A3B1D40E<\/td><\/tr>
    File Size<\/td>249856 bytes<\/td><\/tr>
    Entropy<\/td>4.317<\/td><\/tr>
    VirusTotal<\/td>Score: 35\/62<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

    Descrizione<\/h4>\n\n\n\n

    File DLL estratto dal documento XLS malevolo. Il suo funzionamento consiste nell’avvio del malware FickerStealer<\/p>\n\n\n\n

    Indicatori di Compromissione<\/h2>\n\n\n\n

    Di seguito vengono elencati gli Indicatori di Compromissione<\/strong> messi a disposizione dal CERT-AGID.<\/p>\n\n\n\n

    MD5<\/h3>\n\n\n\n
      \n
    • 4fcb584cd86c3a04b7e3357922204cb5<\/li>\n\n\n\n
    • 338378927b00cbe6aa8c6620057755f9<\/li>\n\n\n\n
    • 24190cd699631d16521dfb588b2571a3<\/li>\n\n\n\n
    • 270c3859591599642bd15167765246e3<\/li>\n<\/ul>\n\n\n\n

      Sha1<\/h3>\n\n\n\n
        \n
      • e227a8a338166dc97e360ca9cddda5e007079c58<\/li>\n\n\n\n
      • 3fd7b142d7e0dc0ae8350197585c2d0744027c1c<\/li>\n\n\n\n
      • 546a86929e82babd0ee6f970d7729e3bf6a14698<\/li>\n<\/ul>\n\n\n\n

        Sha256<\/h3>\n\n\n\n
          \n
        • 99c4b9083ed613bc38904eec3e37d24d3ca092067ee54e373cc3c8d6339857a6 <\/li>\n\n\n\n
        • e746a6d562555f4d2f840727c9a9f8967dddcf100bd8d5f48a6209b76dd43375 <\/li>\n\n\n\n
        • fe62ee36d2ee6bedf3181beb5880115696396a51fe65870ade1a0af60a22f128 <\/li>\n\n\n\n
        • dee4bb7d46bbbec6c01dc41349cb8826b27be9a0dcf39816ca8bd6e0a39c2019<\/li>\n<\/ul>\n\n\n\n

          Domini<\/h3>\n\n\n\n
            \n
          • anithedtatione[.]ru<\/li>\n\n\n\n
          • falan4zadron[.]ru<\/li>\n\n\n\n
          • pospvisis[.]com<\/li>\n\n\n\n
          • bahujansangam[.]org<\/li>\n\n\n\n
          • feedproxy[.]google[.]com<\/li>\n\n\n\n
          • wiltuslads[.]ru<\/li>\n\n\n\n
          • feedproxy[.]google[.]com<\/li>\n\n\n\n
          • feedproxy[.]google[.]com<\/li>\n\n\n\n
          • thervidolown[.]com<\/li>\n\n\n\n
          • feedproxy[.]google[.]com<\/li>\n<\/ul>\n\n\n\n

            URL<\/h3>\n\n\n\n
              \n
            • hxxp:\/\/anithedtatione[.]ru\/8\/forum[.]php<\/li>\n\n\n\n
            • hxxp:\/\/falan4zadron[.]ru\/7hsjfd9w4refsd[.]exe<\/li>\n\n\n\n
            • hxxp:\/\/pospvisis[.]com<\/li>\n\n\n\n
            • hxxps:\/\/bahujansangam[.]org\/insaneity[.]php<\/li>\n\n\n\n
            • hxxp:\/\/feedproxy[.]google[.]com\/~r\/niqab\/~3\/SvG763Rcjf8\/contagion[.]php<\/li>\n\n\n\n
            • hxxp:\/\/wiltuslads[.]ru\/8\/forum[.]php<\/li>\n\n\n\n
            • hxxp:\/\/feedproxy[.]google[.]com\/~r\/ddebvhnpl\/~3\/r564Ba1JvaM\/haggle[.]php<\/li>\n\n\n\n
            • hxxp:\/\/feedproxy[.]google[.]com\/~r\/hvkrnawm\/~3\/A_mGDDju4y8\/insaneity[.]php<\/li>\n\n\n\n
            • hxxp:\/\/thervidolown[.]com\/8\/forum[.]php<\/li>\n\n\n\n
            • hxxp:\/\/feedproxy[.]google[.]com\/~r\/xrhjqrnh\/~3\/QrS209hUWag\/hoping[.]php<\/li>\n<\/ul>\n","protected":false},"excerpt":{"rendered":"

              Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download […]<\/p>\n","protected":false},"author":1,"featured_media":7097,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[],"class_list":["post-2972","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2972","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=2972"}],"version-history":[{"count":2,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2972\/revisions"}],"predecessor-version":[{"id":7098,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/2972\/revisions\/7098"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media\/7097"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=2972"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=2972"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=2972"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}