Domanda Malware Reversing Analisi comportamento malware

[TheWorm91]

Un pc della rete ha aperto un file exe arrivato via email (ovviamente l'av di rete non ha rilevato il file come pericoloso).
Il file è con estensione pdf.exe.xz ed è stato aperto da chrome (tramite programma in cloud che legge le email) e chi l'ha aperto purtroppo non ha saputo spiegarmi altro.
Ho fatto l'analisi del file su virustotal ma non ho capito bene come si dovrebbe comportare una volta eseguito, dovrebbe scrivere nella memoria e leggere i tasti premuti sulla tastiera (keylogger) giusto?
Qui il link dell'analisi

VirusTotal

VirusTotal

www.virustotal.com

Se necessario posso anche inviare il file infetto per un ulteriore analisi.

grazie per l'aiuto

 

[JunkCoder]

Il malware in questione è FormBook. Si tratta di un classico spyware infostealer "RAT" in vendita in forum underground da qualche anno (nel 2021 il costo d'acquisto era 300$). Le funzionalità pubblicizzate dal malware sono:

• Keylog
• Clipboard monitoring
• Password stealer (browser, messaggistica, filezilla ecc)
• Browser form grabbing
• Screenshot
• Download & run altri malware
• Eliminazione cookie del browser
• Esecuzione comandi remoti
• Injection in altri processi
• Persistenza al riavvio
• Anti-analysis (cloud antivirus/sandbox)

 

[TheWorm91]

Grazie @JunkCoder
Sul pc che ha ricevuto l'allegato ho controllato i path seguenti ma non ci sono i file che dovrebbe aver scaricato il malware sulla postazione:

c:\users\public\itjviett.url
c:\users\rdhj0cnfevzx\appdata\local\microsoft\windows\inetcache\counters.dat
c:\users\rdhj0cnfevzx\appdata\roaming\91pq-7q5\91plogim.jpeg
c:\users\rdhj0cnfevzx\appdata\roaming\91pq-7q5\91plogrc.ini
c:\users\rdhj0cnfevzx\appdata\roaming\91pq-7q5\91plogri.ini
c:\users\rdhj0cnfevzx\appdata\roaming\91pq-7q5\91plogrv.ini

Mentre la seguente chiave non è presente:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Itjviett

Che abbia avuto fortuna e il client non è stato infettato?

 

[JunkCoder]

I nomi dei file sono randomizzati ad ogni installazione. Cerca in queste 4 chiavi di registro (i luoghi che usa per ottenere persistenza) la presenza di valori strani:

• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
• HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run
• HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run

Comunque è possibile che non lo abbia aperto, se è Windows 10 o 11 dà un bel po' di avvisi prima di lanciare un eseguibile non firmato e sconosciuto scaricato dal browser, senza contare che anche Defender sembra rilevare il sample.

 

[TheWorm91]

@JunkCoder il fornitore dell'AV ha analizzato il file e mi ha risposto:

File Name: copia-della-richiesta-pdf.exe.xz
MD5: 3a77abef9e99e899e03f12758f11e62b
Il file è stato compresso con "xz compression" che è uno strumento di compressione dei dati ad alto rapporto utilizzato per comprimere i file in ambiente Linux.
All'estrazione di questo file compresso, abbiamo ottenuto una "copia-della-richiesta-pdf.exe" con al suo interno contenuto lo MD5: f0093c416a336c0946114fbb321c47a1 e abbiamo rilasciato la copertura cloud "Trojan.Ghanarava.16879266951c47a1" contro di esso.

 

[JunkCoder]

Probabilmente speravano che fossero installati programmi in grado di estrarre archivi xz come WinZip o 7-Zip, questo potrebbe togliere molti degli avvisi SmartScreen di cui parlavo nel post precedente perché in base a come estrai l'archivio è facile si perda il mark-of-the-web sull'eseguibile estratto. A quel punto fare doppio click sul file exe lo fa partire senza nessun ulteriore avviso. Se fosse un semplice file zip fare doppio click sull'exe interno darebbe un avviso come questo:

Per farlo partire dovresti cliccare More info e Run anyway... pochi lo fanno, quindi cercano altri modi. Poi fanno le statistiche e vedono quale metodo è risultato meglio e spingono più su quello.