Carbanak (anche conosciuto come Anunak) è un gruppo di cyber criminali motivati finanziariamente e identificati per la prima volta nel 2015. I cyber criminali in questione solitamente effettuano furti da istituzioni finanziarie utilizzando malware mirati. Recentemente è stata rilevata una nuova campagna di attacco Carbanak soprannominata “Digital Plagiarist” nella quale i malviventi hanno utilizzato come arma dei documenti office ospitati su domini mirrorati, con il fine di diffondere il malware.
I Forcepoint Security Labs hanno recentemente analizzato un documento RTF infettato da un trojan probabilmente collegato alla banda criminale Carbanak. Il documento contiene uno script Visual Basic (VBScript) tipico dei precedenti malware di Carbanak. Esempi recenti del malware includono la possibilità di utilizzare i servizi di Google per le comunicazioni di Comando e Controllo (C&C). I Forcepoint Security Labs hanno immediatamente informato Google dell’abuso ed ora stanno collaborando per condividere ogni informazione aggiuntiva.
Documenti utilizzati come armi
Il documento RTF che i Labs hanno analizzato (SHA1 1ec48e5c0b88f4f850facc718bbdec9200e4bd2d) ha un oggetto OLE incorporato che contiene un file VBScript. Quando il documento viene aperto all’utente viene chiesto di fare un doppio clic sull’oggetto OLE incorporato che appare come un’immagine.
Facendo doppio clic sull’immagine, esce una finestra di dialogo che invita ad aprire un file “unprotected.vbe”. Se l’utente esegue questo file, il malware VBScript viene eseguito.
Malware Codificato VBScript
Il malware VBScript all’interno del documento RTF (SHA1 cd75662751c59951717b4704ea2cdb6fb7ec19bc) è un file VBScript encoded. I Labs hanno decodificato lo script e trovato le caratteristiche tipiche del malware VBScript del gruppo Carbanak, tuttavia hanno anche evidenziato l’aggiunta di un nuovo modulo script “ggldr”.
Il modulo è codificato in base64 all’interno del VBScript principale insieme ad altri moduli VBScript utilizzati dal malware. Quando lo script è stato analizzato si è notato che esso è in grado di utilizzare i servizi di Google come canale di C&C.
Utilizzo malevolo di Google per comunicazioni C&C
Lo script “ggldr” invierà e riceverà comandi da e per i servizi Google Apps Script, Google Sheets e Google Forms. Per ogni utente infetto viene creato dinamicamente un foglio univoco di Google Sheet con lo scopo di gestire ogni vittima. L’uso di un servizio di terze parti legittimo come questo dà all’attaccante la possibilità di nascondersi in piena vista. E ‘improbabile che questi servizi di Google vengano bloccati by default all’interno delle aziende, di conseguenza è molto probabile che l’attaccante stabilisca con successo un canale di comunicazione C&C.
Per maggiori informazioni:
https://www.linkedin.com/pulse/il-gruppo-carbanak-utilizza-google-per-un-malware-di-comando-sipione?trk=hp-feed-article-title-share
