Discussione Il truffatore seriale su Google che sta spacciando un malware per l'installer di Metasploit Pro

Stato
Discussione chiusa ad ulteriori risposte.

Netcat

Utente Jade
17 Gennaio 2022
451
128
331
691
Un attacco semplice, ma allo stesso tempo molto efficace. Questo scammer, che ha pubblicato circa una decina di link che compaiono in prima pagina su Google, ha preso di mira gli script kiddies, sfruttando il social engineering dell'hacking tool che promette miracoli, ma per funzionare bisogna prima esporsi le natiche (ossia disabilitare l'AV). Dopo un breve preambolo, descriverò tutte le fasi dell'attacco, facendo inoltre reverse engineering del suo malware.

Esistono scam molto simili a questo, ma più difficili da mettere in atto. Il più comune è la crack di Office che invece ti cracca Outlook e lo leaka chissà dove... Quello è già diverso, spesso le crack di Office vengono scaricate da utenti che non sanno, o non possono, nemmeno disabilitare l'AV. Decido di segnalare precisamente questo scam invece, visto che Metasploit è un argomento molto più interessante.
Questo scammer ha capito una cosa fondamentale del mondo della sicurezza offensiva per aver lanciato un attacco del genere. Ha capito semplicemente, quanto sono ignoranti la maggior parte di coloro che usano semplicemente la parola "hackerare" per indicare un'azione offensiva contro un'infrastruttura informatica. Cos'è Metasploit Pro, e cosa fa?

Questo tool, incarna il sogno di una vita di tutti gli script kiddies del mondo, che desiderano l'hacking facile: tu apri questa bella GUI, clicchi solo su Start e -boom!- il router della vecchia che abita di sopra dossato... -beeng!- Al guinzaglio tutti i PC della scuola con una reverse shell... Semplicemente cliccando un bottone. Questo scammer ha capito tutto, io colgo l'occasione di quest'ennesima truffa per dire a chi si cimenta nel campo della sicurezza offensiva, di non focalizzarsi esclusivamente sui programmi creati da altri sviluppatori o aziende. Assumete che il tool è ottimo, è fatto bene, ma ad un certo punto lo sviluppatore smette di aggiornarlo, oppure smette di renderlo open source... Come farete? Assumete che il tool s'inceppa perché il target non è vulnerabile alla versione dell'exploit che questo tool vuole lanciare? Vi fermerete.

Analysis e reverse engineering del malware:
1. Il nostro uomo ci propone una .zip protetta da password, negli stessi siti è sempre la stessa (1234). Questa misura di sicurezza viene solitamente scelta per bypassare il MOTW, e permettere un download agevole, ma non è sufficiente per stabilire che si abbia a che fare con un malware. Scaviamo.

2. Estratta, ci troviamo di fronte ad un installer dal peso di circa 300 MB e alcuni riferimenti falsi a Microsoft nelle proprietà del file. L'arch è x86 come prevedibile, perché i malware che sfruttano quest'arch sono universali, e possono essere eseguiti via WOW64 sugli OS a 64 bit.

3. Una volta aperto, l'utility, invece di installare MSF, rilascia due copie di un file misterioso chiamato eventvwr.exe in AppData, modifica il registro di Windows per renderlo persistente, e si termina. Questo eventvwr.exe invece rimane in esecuzione, idle nel task manager. Lo sfortunato skiddie viene semplicemente avvertito di un errore falso, per far credere che il programma sia crashato, quando in realtà funziona anche troppo bene.

4. Digitando netstat -a mentre questo eventvwer.exe viene aperto volontariamente, si può notare come il proprio PC venga connesso a un range di Indirizzi IP provenienti tutti dagli USA, e a un dominio chiamato dns.msftncsi.com, che dovrebbe essere qualcosa tipo Ngrok o comunque un VPS.

5. Una deep analysis più accurata l'ho delegata a VirusTotal, che ha spiegato nel dettaglio il behavior pattern del file, e di tutti i motivi (sia tecnici che evidenti) che lo riconducono a un RAT, detection rate 46/70 (. (https://www.virustotal.com/gui/file...aaeaaf4115ac4cf93c0dae31f86a24d253f/relations)
 
Stato
Discussione chiusa ad ulteriori risposte.