Nuova Campagna Malspam per il deploy del Malware FickerStealer

Pubblicato da frtg il

Nell’ultima settimana il CERT-AGID ha osservato una campagna malspam il cui intento era quello di diffondere il malware FickerStealer tramite il loader Hancitor per rubare le credenziali presenti nella macchina della vittima. Le e-mail, a tema “Pagamenti”, contenevano un documento Word o Excel in allegato, all’interno del quale erano registrate delle macro per il download e l’esecuzione del malware.

Hancitor

Hancitor è un loader, ovvero un malware il cui compito è quello di scaricare (o estrarre) ed eseguire un secondo malware per il controllo della macchina. Nel caso di Hancitor, diversi team di ricerca hanno individuato come payload FickerStealer, Sendsafe, e i Beacon di Cobalt Strike.

Il malware viene individuato sotto forma di documenti Word o fogli di lavoro Excel contenenti un file DLL e le macro necessarie all’estrazione e l’esecuzione della stessa tramite il programma Microsoft RunDll32.exe.

FickerStealer

FickerStealer è un Malware-as-a-Service (MaaS). Questa tipologia di malware viene offerta ai gruppi criminali affiliati al gruppo degli sviluppatori e prevede il pagamento di una quota di accesso per l’utilizzo (limitato temporalmente) del malware.

Nel caso di FickerStealer, il prodotto è stato pubblicizzato su forum russi nella seconda metà del 2020 e sono stati aperti canali dedicati al supporto sull’utilizzo dello stesso su Telegram. Nello specifico, come osservato dal CERT-AGID, i prezzi variano da 90$ per una settimana fino a 900$ per sei mesi di attività.

Il malware fa parte della famiglia degli Info-Stealer ed è stato progettato per il furto di credenziali e dati sensibili presenti nel sistema operativo, nei browser installati e in altri software come WinSCP, FileZilla, Steam, Discord e ThunderBird.

In aggiunta, FickerStealer enumera i crypto-wallet presenti nella cartella C:\Users\<Nome utente>\AppData\Roaming del sistema e non viene eseguito se la lingua del sistema è una delle seguenti:

  • ru-RU (Russia)
  • be-BY (Bielorussia)
  • uz-UZ (Uzbekistan)
  • ua-UA (Ucraina)
  • hy-AM (Armenia)
  • kk-KZ (Kazakistan)
  • az-AZ (Azerbaigian)

Analisi Statica

File DLL

Tag

FickerStealer Hancitor

Dettagli

md552DED1336D56FBA0AE37CEEE4F985153
sha1E100B3D171D68FA4EFBC0AEEBB301C9FFBD7735D
sha256385FC925B1AAF4B86AEAB9C368B6A101AB338B73D166CC7454162924A3B1D40E
File Size249856 bytes
Entropy4.317
VirusTotalScore: 35/62

Descrizione

File DLL estratto dal documento XLS malevolo. Il suo funzionamento consiste nell’avvio del malware FickerStealer

Indicatori di Compromissione

Di seguito vengono elencati gli Indicatori di Compromissione messi a disposizione dal CERT-AGID.

MD5

  • 4fcb584cd86c3a04b7e3357922204cb5
  • 338378927b00cbe6aa8c6620057755f9
  • 24190cd699631d16521dfb588b2571a3
  • 270c3859591599642bd15167765246e3

Sha1

  • e227a8a338166dc97e360ca9cddda5e007079c58
  • 3fd7b142d7e0dc0ae8350197585c2d0744027c1c
  • 546a86929e82babd0ee6f970d7729e3bf6a14698

Sha256

  • 99c4b9083ed613bc38904eec3e37d24d3ca092067ee54e373cc3c8d6339857a6
  • e746a6d562555f4d2f840727c9a9f8967dddcf100bd8d5f48a6209b76dd43375
  • fe62ee36d2ee6bedf3181beb5880115696396a51fe65870ade1a0af60a22f128
  • dee4bb7d46bbbec6c01dc41349cb8826b27be9a0dcf39816ca8bd6e0a39c2019

Domini

  • anithedtatione[.]ru
  • falan4zadron[.]ru
  • pospvisis[.]com
  • bahujansangam[.]org
  • feedproxy[.]google[.]com
  • wiltuslads[.]ru
  • feedproxy[.]google[.]com
  • feedproxy[.]google[.]com
  • thervidolown[.]com
  • feedproxy[.]google[.]com

URL

  • hxxp://anithedtatione[.]ru/8/forum[.]php
  • hxxp://falan4zadron[.]ru/7hsjfd9w4refsd[.]exe
  • hxxp://pospvisis[.]com
  • hxxps://bahujansangam[.]org/insaneity[.]php
  • hxxp://feedproxy[.]google[.]com/~r/niqab/~3/SvG763Rcjf8/contagion[.]php
  • hxxp://wiltuslads[.]ru/8/forum[.]php
  • hxxp://feedproxy[.]google[.]com/~r/ddebvhnpl/~3/r564Ba1JvaM/haggle[.]php
  • hxxp://feedproxy[.]google[.]com/~r/hvkrnawm/~3/A_mGDDju4y8/insaneity[.]php
  • hxxp://thervidolown[.]com/8/forum[.]php
  • hxxp://feedproxy[.]google[.]com/~r/xrhjqrnh/~3/QrS209hUWag/hoping[.]php
Categorie: Minacce