{"id":3078,"date":"2021-08-18T15:31:39","date_gmt":"2021-08-18T13:31:39","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=3078"},"modified":"2023-09-16T11:05:53","modified_gmt":"2023-09-16T11:05:53","slug":"advanced-persistent-adware-iserik","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/advanced-persistent-adware-iserik\/","title":{"rendered":"Advanced Persistent Adware: IsErik"},"content":{"rendered":"\n

Questa informativa \u00e8 il risultato delle analisi condotte dagli analisti Fortgale a seguito dell’identificazione di un’anomalia di sicurezza durante il l’erogazione del servizio\u00a0Managed Detection & Response\u00a0<\/strong>(MDR<\/strong>).<\/p>\n\n\n\n

Nello specifico, l’anomalia rilevata \u00e8 associata ad un software di tipo Adware particolarmente invasivo e persistente:\u00a0ADWARE IsErIk<\/strong>.<\/p>\n\n\n\n

Questa minaccia, categorizzata come\u00a0Advanced Persisten Adware<\/strong>, \u00e8 spesso mascherata da versioni “portable<\/em>” di prodotti commerciali o da generatori di chiavi di licenza (keygen<\/strong>) per applicazioni commerciali. In alcuni casi il software richiede all’utente il permesso di installare software aggiuntivo causando l’esecuzione di comandi nella propria macchina.<\/p>\n\n\n\n

L’infezione del sistema avviene attraverso la creazione di un\u00a0task schedulato<\/strong>\u00a0con il compito di eseguire, tramite WScript, codice\u00a0Javascript<\/strong>. Durante l’intervento di\u00a0Incident Response<\/strong>, il nome del task risultava essere\u00a0\\Secured Yahoo Powered nalel<\/strong>\u00a0utilizzato per l’esecuzione del comando:<\/p>\n\n\n\n

C:\\Windows\\system32\\wscript.exe \"C:\\ProgramData\\{38E1FD82-B2A3-7744-3465-XXXXXXX}\\tano.txt\" \"687474XXXXXXX636f6d\" \"433a5c50XXXXX237363243387d5c726572656669\" \"433a5c50726XXXXXXXX237363243387d5c7269646f746f64\" \"\/\/B\" \"\/\/E:jscript\" \"--IsErIk\"`<\/code>,<\/p>\n\n\n\n

il quale, dopo aver controllato la presenza del parametro\u00a0--IsErIk<\/code>\u00a0decodifica gli altri parametri e si connette al server di comando e controllo (in questo caso all’url\u00a0hxxps:\/\/ddukmql[.]com<\/strong>\u00a0ed effettua chiamate POST, le cui risposte consistono in ulteriore\u00a0codice Javascript\u00a0<\/strong>da eseguire nel sistema compromesso.<\/p>\n\n\n\n

Indicatori di Compromissione<\/strong><\/h2>\n\n\n\n

SHA256<\/strong><\/h3>\n\n\n\n
  • 2b89075ad9485d72bcf6548afaee7ba8d4fa0f77e874d62efd70c9c311dc406d (C:\\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\\tano.txt)<\/li><\/ul>\n\n\n\n

    File Path<\/strong><\/h3>\n\n\n\n
    • C:\\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\\tano.txt<\/li>
    • C:\\ProgramData{89F74C94-03B5-C652-8573-58101F31D3DE}\\tofi.txt<\/li>
    • C:\\ProgramData{F4723111-7E30-BBD7-F8F6-259562B4AE5B}\\rari.txt<\/li>
    • C:\\ProgramData{595E9C3D-D31C-16FB-55DA-88B9CF980377}\\fala.txt<\/li>
    • C:\\ProgramData{19B7DCD4-93F5-5612-1533-C8508F71439E}\\faso<\/li>
    • C:\\ProgramData{F3BF36DC-79FD-BC1A-FF3B-22586579A996}\\doro<\/li><\/ul>\n\n\n\n

      Domini<\/strong><\/h3>\n\n\n\n
      • ddukmql[.]com<\/li>
      • katunaq[.]com<\/li>
      • tdfpa[.]com<\/li>
      • qajolos[.]com<\/li>
      • butapujo[.]com<\/li>
      • rududulu[.]com<\/li><\/ul>\n","protected":false},"excerpt":{"rendered":"

        Indicatori di Compromissione SHA256 2b89075ad9485d72bcf6548afaee7ba8d4fa0f77e874d62efd70c9c311dc406d (C:\\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\\tano.txt) File Path C:\\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\\tano.txt C:\\ProgramData{89F74C94-03B5-C652-8573-58101F31D3DE}\\tofi.txt C:\\ProgramData{F4723111-7E30-BBD7-F8F6-259562B4AE5B}\\rari.txt C:\\ProgramData{595E9C3D-D31C-16FB-55DA-88B9CF980377}\\fala.txt C:\\ProgramData{19B7DCD4-93F5-5612-1533-C8508F71439E}\\faso C:\\ProgramData{F3BF36DC-79FD-BC1A-FF3B-22586579A996}\\doro Domini ddukmql[.]com katunaq[.]com tdfpa[.]com qajolos[.]com butapujo[.]com rududulu[.]com<\/p>\n","protected":false},"author":1,"featured_media":2489,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[1701,1703,1705,1707,1709,1711,1445],"class_list":["post-3078","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-adware-it","tag-iserik-it","tag-iserlk-it","tag-lserlk-it","tag-malicious-it","tag-persistent-it","tag-threat-it"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3078","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=3078"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3078\/revisions"}],"predecessor-version":[{"id":6945,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/3078\/revisions\/6945"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=3078"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=3078"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=3078"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}