SICUREZZA DIGITALE

Credential stealer: nel mirino i clienti di banche USA e Canada

Gli analisti di Trend Micro hanno scoperto una campagna di hacking - i cui componenti di codice principali sono scritti in AutoHotkey (AHK) -  per accedere ai conti correnti di ignari utenti, presso istituti americani, canadesi e indiani.

Già all’inizio del 2020 i ricercatori di Trend Micro avevano scoperto l’utilizzo di un credential stealer, da parte di alcuni malintenzionati per carpire le credenziali di accesso ai conti correnti bancari dei clienti di istituti canadesi ed americani come Scotiabank, Royal Bank of Canada, HSBC, Alterna Bank, Capital One, Manulife ed EQ Bank, nonché di una società bancaria indiana: la ICICI Bank.

Fonte: Trend Micro

Secondo quanto ricostruito, gli hacker hanno scritto in AutoHotkey (AHK) –  un linguaggio di scripting libero ed open-source per Microsoft Windows, sovente utilizzato per creare scorciatoie da tastiera, micro-creazione rapida e automazione del software –  un file eseguibile con il codice malevolo all’interno.

L’infezione attraverso il malware è stata compiuta in più fasi. All’inizio, mediante dei server presenti in Svezia, Paesi Bassi e Stati Uniti, è stato veicolato un file Excel dannoso contenente un file eseguibile del compilatore di script AHK ed una macro AutoOpen di Visual Basic for Applications (VBA). Quando l’utente abilitava le macro ad aprire il file Excel, la macro VBA AutoOpen rilasciava ed eseguiva lo script del client downloader, tramite un compilatore di script AHK portatile legittimo, invece di ricevere i comandi direttamente dal server.

Fonte: Trend Micro

In una seconda fase entravano in gioco i due file Adb.exe e adb.ahk. In particolare, Adb.exe è un compilatore di script AHK che ha la funzione di compilare ed eseguire lo script AHK in una determinata directory. Il secondo file, lo script AHK che viene rilasciato, è un client downloader che è responsabile della profilazione delle vittime dell’esecuzione dello script AHK sui sistemi delle vittime.

Successivamente il client downloader agiva creando un collegamento di esecuzione automatica per adb.exe nella cartella di avvio, sotto la medesima directory: adb.ahk. Lo script quindi profilava ciascun utente generando un codice identificativo univoco per ogni vittima in base al numero di serie del volume dell’unità C. Il ladro poi, attraverso il malware, raccoglieva e decodificava le credenziali dai browser come Google Chrome, Opera, Edge, Firefox ed Internet Explorer, ed iniziava a inviare una richiesta HTTP GET al server ogni cinque secondi utilizzando l’ID generato che fungeva da percorso di richiesta al server di comando e controllo (C&C) per recuperare ed eseguire lo script AHK sul sistema infetto.

Per eseguire le istruzioni maligne il malware accettava vari script AHK per le attività più disparate che compivaciascuna vittima e li eseguiva utilizzando lo stesso url C&C, così da caricare uno script specifico per ogni utente o gruppo di utenti bersaglio. Selezionando il momento opportuno in cui inviare i comandi alla macchina infetta della vittima, riusciva a non essere notato dalle sandbox, tentando poi di scaricare un modulo SQLite sulla macchina, per eseguire query SQL sui database SQLite all’interno delle cartelle delle app dei browser. 

Finora, gli analisti di Trend Micro sono riusciti a risalire a cinque server C&C e a solo due comandi: deletecookies e password. Inoltre, vedendo che gli script prevedevano istruzioni in cirillico, hanno ipotizzato l’ingaggio di hacker su commissione, assunti al fine di svuotare i conti di decine di milioni di ignari utenti.

Fonte: Trend Micro

Back to top button