Un nuovo malware bancario sta colpendo le mail di migliaia di utenti, in particolare persone in difficoltà a causa della pandemia da COVID-19. Tra i più colpiti da Silent Night, questo il nome del malware, risultano gli utenti di Stati Uniti, Canada e Australia, come riporta un’analisi di IBM e FireEye di marzo 2020.

Il malware ha fatto la sua prima apparizione alla fine dello scorso anno ma sembra che con lo scoppio della pandemia le campagne di pishing siano aumentate in maniera esponenziale. La ragione sono gli aiuti di stato garantiti ai cittadini in difficoltà, come il piano promosso dal governo degli Stati Uniti per la ripresa che offre contributi alle famiglie più indigenti. Questo piano è stato visto come una perfetta occasione per estrarre i dati bancari di chi spera nell’erogazione del contributo e, secondo il governo, il numero di mail recapitate tenderà ad aumentare significativamente nel prossimo periodo.

Il malware ha una struttura piuttosto complessa, in grado di offrire una moltitudine di funzionalità ai malintenzionati. Viene offerto infatti come MaaS (Malware-as-a-Service) su un forum russo: il prezzo è di 4000 dollari al mese per una build dedicata, 2000 dollari al mese per una build generica, e 500 dollari per una prova di 14 giorni. Con i MaaS i programmatori cercano di attirare un pubblico di hacker inesperti o aspiranti, offrendo servizi a basso costo che permettono di essere immediatamente operativi ed avere una piattaforma efficiente che eviti problemi di sorta, garantendo entrate costanti. Tuttavia, con un prezzo così alto, sembra che l’autore aspiri ad un pubblico più selezionato di organizzazioni o piccole bande già ben strutturate.

Grazie ad un’analisi approfondita pubblicata da Malwarebytes e HYAS, sappiamo che si tratta di un derivato di ZeuS, quest’ultimo apparso per la prima volta nel lontano 2015. Secondo i ricercatori non si differenzia da altri derivati (come Terdot) se non per il fatto di essere scritto decisamente meglio e di avere un design modulare molto più efficace. Una peculiarità del nuovo trojan bancario riguarda l’offuscatore, studiato ad hoc per il nuovo malware, in grado di criptare tutte le stringhe ed i valori costanti, modificando l’intero codice e generandone quindi uno nuovo ad ogni utilizzo. L’output che ne consegue è un codice estremamente confuso e senza impatto significativo sulle prestazioni, impossibile da individuare perché ogni tipo di firma digitale può essere “cancellata con un click”.

Ma come avviene l’attacco? In realtà compromettere il PC attraverso questo tipo di malware è piuttosto semplice. Nelle ultime campagne di pishing la vittima riceve una mail con un file Word (o più recentemente Excel o uno script VBS) in allegato che viene descritto come modulo da compilare per l’erogazione di un contributo statale, nel caso dei clienti canadesi ad esempio viene promesso un bonus di 2500 dollari. Una volta aperto il file viene eseguita un’istanza msiexec che a quel punto recupera il bot Silent Night da un server C2 o da un file locale e lo inietta nell’istanza in questione. A questo punto, il malintenzionato può eseguire i comandi direttamente da remoto, lasciando ignara la vittima.

I ricercatori infatti hanno trovato in uno dei moduli persino un manuale utente, nel quale sono elencate tutte le funzionalità ed i comandi eseguibili dall’hacker. Compiuta l’infezione quindi, il criminale è in grado di estrarre dati sensibili bancari come conto corrente, IBAN o password in caso di accesso al sito della propria banca da parte della vittima, oltre ad avere a disposizione una funzionalità che gli permette di estrarre file, password diverse e cookie direttamente da remoto grazie ad un server VNC mentre il codice viene eseguito in background in maniera completamente nascosta.

I ricercatori quindi, se da un lato sostengono che non apporta alcuna rivoluzione a ZeuS ma che sia semplicemente un suo derivato scritto estremamente bene, sono preoccupati per l’evoluzione che il nuovo malware potrebbe avere. È indubbio infatti che, pur avendo origine da ZeuS, si tratti comunque di un malware nuovo a cui probabilmente Ax sta continuando a lavorare per espanderne ulteriormente le funzionalità.

Se cerchi un buon antivirus per il tuo PC, su Amazon puoi trovare McAfee Total Protection 2020 per 3 dispositivi in offerta lampo a soli 15,99 euro, una suite completa che protegge da virus e malware.