Libraesvamette in guardia contro una nuova versione del virus Ursnif, che fa incetta di account email, inserendosi in thread di comunicazione attivi, passati o archiviati. Il trucco che il malware utilizza per diffondersi è semplice: una volta eseguito sul computer della vittima, invia le risposte a tutti i thread di posta elettronica esistenti (anche retroattivamente), allegando una copia del malware stesso che quindi continua a propagarsi senza che mittenti o vittime se ne accorgano. Ursnif è fondamentalmente un trojan che dirotta le sessioni di remote banking o ruba credenziali; il malware stesso continua a cambiare nel tempo. Il dropper è un documento word con una macro offuscata. Anche la macro continua a cambiare e questo rende molto difficile per gli scanner antivirus intercettare le nuove varianti. Ecco perché molte di queste email, non essendo contrassegnate dall’antivirus, vengono messe in quarantena senza il tag “malware” che renderebbe più difficile per il destinatario rilasciarle.
Allarme rosso per i Trojan mutanti Ursnif Molti utenti, vedendo messa in quarantena una risposta a un thread esistente da uno dei loro contatti, sono talmente convinti che si tratti di una email legittima, che rilasciano dalla quarantena e addirittura segnalano come un falso positivo ai laboratori EsvaLabs, poi aprono l’allegato, abilitano le macro e si infettano autonomamente.
A questo punto il malware inizia a diffondersi ai propri contatti con le risposte ai thread esistenti e la campagna si propaga. Il messaggio della mail contiene pochissime parole: “Buongiorno, Vedi allegato e di confermare. Cordiali saluti” seguito dalla firma reale dell’account infetto e dal thread di posta elettronica esistente sotto. Una frase scritta in un italiano scorretto, ma questo non sembra comprometterne l’efficacia.
L’allegato, solitamente denominato “Richiesta.doc”, è un documento word che finge di essere stato creato con una versione precedente di Microsoft Office e, come di consueto, invita l’utente ad abilitare le macro. Le macro sono offuscate, continuano a cambiare per non essere scoperte dai sistemi basati su firma e pattern e contengono un’azione di AutoOpen che esegue uno script powerhell che scarica e installa il payload.
I motori antivirus stanno rilasciando ogni giorno centinaia di nuove regole di rilevamento per questi campioni in continua evoluzione, ma la latenza del processo garantisce la consegna di molti campioni che non sono ancora stati identificati dai motori antivirus. Questa campagna, così come altre campagne di malware come Emotet, ad esempio, ha un dropper in continua evoluzione che evidenzia tutti i limiti degli approcci di difesa basati su firme e modelli. Queste email vengono messe in quarantena dai controlli del contenuto e gli allegati vengono bloccati o disarmati dal servizio di sandboxing QuickSand di Libraesva, un servizio che rimuove il codice attivo quando sono presenti le operazioni tipiche che abilitano la funzionalità del dropper.
Rodolfo Saccani, Security R&D Manager di Libraesva Nonostante queste email siano bloccate da livelli aggiuntivi di protezione, come la sandbox Libraesva, la componente di phishing è così forte che alcuni utenti volontariamente aggirano tutti i controlli di sicurezza e vengono comunque infettati. Questo semplice trucco del phishing può indurre lo stesso destinatario a compiere un lavoro non indifferente che finisce per aiutare gli autori del malware: rilasciare l’email dalla quarantena, aprirla, lanciare l’allegato, abilitare le macro e in alcuni casi anche segnalare l’email come un falso positivo.
Si tratta di un approccio che non presenta gli svantaggi degli approcci basati sulle firme e che si è dimostrato molto efficace nel bloccare varianti di malware sconosciute e in continua evoluzione.
