Malware Zyklon HTTP su Microsoft Office

Diffondi il sapere

I ricercatori di sicurezza di FireEye hanno recentemente osservato una nuova campagna di diffusione del malware Zyklon HTTP mediante Email fraudolente.

Il malware Zyklon HTTP, osservato per la prima volta in-the-wild all’inizio del 2016, è un trojan multifunzione con capacità di backdoor, disponibile a pagamento sul Dark Web.

Le Email coinvolte in questa nuova campagna sono mirate principalmente ad aziende nei settori delle telecomunicazioni, delle assicurazioni e dei servizi finanziari. Ai messaggi è allegato un archivio compresso in formato ZIP che a sua volta contiene un documento di Microsoft Office malevolo con estensione “.doc”.

Il file di Office contiene exploit per tre vulnerabilità note di Microsoft Office, tutte piuttosto recenti:

  • CVE-2017-8759: vulnerabilità di tipo esecuzione di codice da remoto in .NET Framework scoperta a settembre del 2017 e sfruttata in-the-wild per diffondere il malware FINSPY. Corretta da Microsoft con gli aggiornamenti del 12 settembre 2017.
  • CVE-2017-11882: vulnerabilità in Microsoft Office che può consentire ad un attaccante di eseguire codice arbitrario da remoto nel contesto dell’utente corrente. Corretta da Microsoft a con un aggiornamento fuori banda il 28 novembre del 2017.
  • Dynamic Data Exchange (DDE): un metodo per trasferire dati tra applicazioni che può essere sfruttato in maniera malevola per diffondere malware. Oggetto di un avviso di sicurezza di Microsoft dell’8 novembre 2017.

Se una di queste falle viene sfruttata con successo, il controllo passa ad uno script PowerShell che si occupa di scaricare il payload vero e proprio del malware dal server C&C e di mandarlo in esecuzione.

 

Lo schema di infezione di Zyklon HTTP (fonte: FireEye via CERT Nazionale)

 

Zyklon HTTP è dotato di funzionalità di keylogger, di raccolta di password e per la conduzione di attacchi DDoS. Il malware è in grado di comunicare con i server C&C attraverso la rete TOR e può scaricare diversi plugin che implementano svariate funzionalità aggiuntive, tra le quali estrazione di criptovalute (mining) e furto di password da numerosi browser (Chrome, Firefox, Explorer, Opera, Safari e altri), client di Email (Outlook, Thunderbird e altri) e applicativi FTP, recupero di chiavi di attivazione e di licenza di numerosi software tra i quali Office, SQL Server, Adobe, Nero e molti videogiochi.

Il post originale di FireEye contiene un’analisi più dettagliata di questa campagna di diffusione del malware Zyklon HTTP, inclusi svariati indicatori di compromissione (IoC).

Per evitare di cadere vittime di questo tipo di minacce, si raccomanda agli utenti di esercitare estrema cautela riguardo Email di provenienza sospetta e di non aprire mai gli allegati. Si raccomanda inoltre di installare e mantenere aggiornate soluzioni antivirus sui propri computer.

Questa è una comunicazione ufficiale rilasciata dal CERT Nazionale con licenza Creative Commons Attribuzione – Non commerciale 3.0

Per rimanere aggiornati su questo e altro, collegatevi alla nostra pagina facebook e/o iscrivetevi al gruppo.

Riferimenti

(in lingua inglese)

– Microsoft Office Vulnerabilities Used to Distribute Zyklon Malware in Recent Campaign

 

© RIPRODUZIONE RISERVATA


Diffondi il sapere

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *