I ricercatori di sicurezza hanno appena scoperto un nuovo attacco senza file che sfrutta la segnalazione degli errori di Microsoft Windows (OMS).
Il gruppo di hacker dietro il cosiddetto attacco Kraken deve ancora essere identificato.
I ricercatori di sicurezza Hossein Jazi e Jérôme Segura affermano che l'attacco si basa sul malware nascosto negli eseguibili basati sul WER. In questo modo rimane inosservato senza creare alcun sospetto.
Spiegazione dell'attacco senza file del Kraken
L'attacco viene avviato da un documento di phishing adescamento in un file .ZIP, intitolato "Compensation manual.doc." Come visto in molti attacchi di phishing, il documento afferma di contenere informazioni sui diritti di compensazione dei dipendenti. Tuttavia, se un dipendente di un'organizzazione lo apre, attiveranno una macro dannosa. L'abilitazione delle macro è uno dei trucchi più vecchi nelle campagne dannose basate sul phishing.
In questo caso, la macro utilizza una versione personalizzata del modulo VBA CactusTorch che avvia un attacco senza file tramite shellcode. CactusTorch quindi scarica un binario compilato .Net, soprannominato Kraken.dll, che viene caricato in memoria ed eseguito tramite VBScript. Il payload inietta uno shellcode incorporato nel file WerFault.exe, che è connesso al servizio WER Microsoft. Lo shellcode effettua anche una richiesta HTTP a un dominio hardcoded, forse fatto per scaricare malware aggiuntivo.
"Segnalazione errori di Windows (OMS) è un'infrastruttura di feedback flessibile basata su eventi progettata per raccogliere informazioni sui problemi hardware e software rilevabili da Windows, segnalare le informazioni a Microsoft, e fornire agli utenti tutte le soluzioni disponibili," Microsoft dice.
Solitamente, quando un utente Windows vede in esecuzione WerFault.exe, potrebbero pensare che si sia verificato un errore. Tuttavia, in questo caso particolare, l'esecuzione di questo file significa un attacco malware mirato. È interessante notare che la stessa tecnica è stata implementata da NetWire RAT e Cerber ransomware.
Altre attività dannose viste in questa campagna senza file includono offuscamento del codice, DLL che opera in più thread, sondaggio per ambienti sandbox e debugger, e la scansione del registro per le macchine virtuali VMWare disponibili o Oracle VirtualBox. Anche, se sono presenti attività di analisi, saranno terminati.
Gli aggressori sconosciuti sono dietro gli attacchi senza file Kraken
Perché l'URL di destinazione hardcoded del malware è stato rimosso mentre i ricercatori stavano facendo l'analisi, attualmente è impossibile attribuire l'attacco a un particolare gruppo di minacce. Tuttavia, alcuni elementi dell'attacco del Kraken ricordano OceanLotus, un gruppo APT vietnamita.
Il malware OceanLotus si è concentrato sull'infettare reti specifiche in campagne di attacchi mirati. Il collettivo criminale dietro di esso conduce campagne contro le imprese e le agenzie governative in Asia: Laos, Cambogia, Vietnam, e le Filippine. Quello che si sa di questi attacchi particolari è che sono orchestrati da un gruppo di hacker di grande esperienza.
Perché malware senza file?
L'idea alla base il malware fileless è semplice: se esistono già strumenti su un dispositivo, come PowerShell.exe, per soddisfare gli obiettivi di un aggressore, allora perché rilasciare strumenti personalizzati che possono essere contrassegnate come malware? Se un criminale informatico può assumere un processo, eseguire il codice nel suo spazio di memoria, e quindi utilizzare tale codice per chiamare gli strumenti che sono già su un dispositivo, l'attacco diventa furtiva e quasi impossibile da rilevare.