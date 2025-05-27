Tag
Protezione

Mispadu (Ursa) Comunicazione C2C dietro le quinte

Primo piano sull'esterno di un edificio bancario

Mispadu, noto anche come Ursa, è un malware finanziario remoto che prende di mira banche in paesi di lingua spagnola e portoghese come Messico, Colombia, Argentina, Cile, Portogallo, Spagna e altri. In parole povere, il malware di overlay remoto è un programma dannoso progettato per controllare il sistema della vittima controllandone il mouse e la tastiera, mentre il truffatore visualizza lo schermo della vittima in tempo reale.

Mispadu è apparso per la prima volta nel 2019 ed è riapparso nel 2022. Come i suoi corrispettivi, Mekotio e Grandoreiro, Mispadu è scritto nel linguaggio di programmazione Delphi. A differenza loro, era meno comune in natura fino a poco tempo fa, quando sono state avvistate nuove campagne in diversi Paesi dell'America Centrale, dell'America Latina e dell'Europa. Per maggiori informazioni su Mekotio, consulta il nostro precedente post sul blog: Mekotio Banking Trojan prende di mira l'America Latina.

Con il ritorno di Mispadu in attività, sono stati apportati diversi cambiamenti al suo funzionamento, tra cui la codifica delle comunicazioni di comando e controllo (C2C), che esploreremo in questo articolo.

Pre-inizializzazione della comunicazione C2C

Scopo della comunicazione C2C

In quanto overlay remoto, la comunicazione del malware con il suo operatore è fondamentale per un attacco di successo. Questa comunicazione è solitamente costituita da una serie di comandi operativi trasmessi dal truffatore al programma dannoso in esecuzione sul sistema della vittima.

Molti attacchi sovrapposti, come il furto del denaro della vittima tramite il suo conto bancario, vengono eseguiti mentre il truffatore osserva e controlla le sessioni live della vittima.

Esempio di schermo di un truffatore che controlla lo schermo della vittima
Figura 1 - Lo schermo del truffatore controlla lo schermo della vittima
Uomo che guarda il computer

Temporizzazione della comunicazione C2C

Anche se può sembrare intuitivo che la comunicazione con il truffatore avvenga immediatamente dopo l'esecuzione del programma malevolo da parte dell'utente, non è così. Questa comunicazione rappresenta un rischio significativo per il truffatore, poiché potrebbe attivare allerte da parte dei programmi antivirus.

Nel nostro scenario e nella maggior parte dei casi che coinvolgono altri overlay remoti, la comunicazione viene avviata solo dopo che l'utente accede a uno dei target del malware, in particolare ai siti internet bancari dei paesi di lingua spagnola o portoghese.

codice che esegue l'iterazione sull'elenco di destinazione
Figura 2 - Iterazione sull'elenco di destinazione

Inizializzazione della comunicazione C2C

Quando l'utente accede a uno degli elenchi di destinazione del malware, viene stabilita la comunicazione con il server C2C. Ciò si ottiene utilizzando le API Socket WIN32, che forniscono il metodo più conveniente per tale comunicazione.

Prima di configurare il socket, il malware popola le informazioni del socket, inclusa la porta di destinazione e l'indirizzo.

codice che configura il socket con indirizzo di destinazione e la porta
Figura 3 – Configurazione del socket con indirizzo di destinazione e porta

Una volta collegato il socket, il messaggio 'GFHHVG..' viene inviato al server C2C.

Registro in attesa di connessione e invio del messaggio
Figura 4 - Una volta connesso il socket, il malware invia un messaggio al suo server C2C

Ricezione della comunicazione C2C

Dopo avere collegato il socket e inviato il beacon al server C2C, il malware attende l'input dal server C2C. Una volta ricevuto, il messaggio viene gestito da una delle seguenti funzioni di "lettura", a seconda della sequenza del messaggio ricevuto:

schermata delle funzioni di lettura (in rosa chiaro)
Figura 5 - Funzioni di lettura (in rosa chiaro)

Queste funzioni sono simili tra loro e il loro scopo è analizzare i messaggi ricevuti dal C2C.

Analizziamo la prima funzione "TwYHJk1_wC51Read":

Schermata del codice che mostra dove decodifica il messaggio per poi confrontarlo con la stringa <|SocketMain|>
Figura 6 - Decodifica il messaggio per poi confrontarlo con la stringa <|SocketMain|>

Una volta ricevuto un messaggio dal C2C, il malware lo analizza decodificandolo e confrontandolo con una stringa che rappresenta un comando. Nella prima funzione "read" come si vede nello snippet, il primo comando confrontato è "<|SocketMain|>". Nelle altre funzioni di “lettura” i comandi confrontati sono diversi.

Notare la funzione nell'indirizzo 0x7364A8.

Questa funzione è responsabile della decodifica dell'intero messaggio. Riceve una stringa e, dopo diverse manipolazioni matematiche, restituisce una stringa decodificata.

Diamo un'occhiata all'interno di quella funzione e scopriamo il suo algoritmo.

Codifica della comunicazione C2C

Scopo

La codifica delle comunicazioni serve a nascondere le intenzioni e i metodi operativi del truffatore. Ciò può essere realizzato utilizzando algoritmi di comunicazione preesistenti o personalizzati. Come abbiamo mostrato in precedenza, il messaggio 'GFHHV..' sembra essere un messaggio codificato che, a causa della sua natura apparentemente casuale e priva di significato, solleva il sospetto di codifica.

Implementazione

Quando esaminiamo la funzione di decodifica delle comunicazioni C2C, possiamo vedere che l'implementazione del meccanismo di decodifica è semplice e serve a decodificare i messaggi ricevuti dal server C2C. Questo stesso meccanismo viene utilizzato anche per codificare i messaggi inviati al server C2C.

All'interno della funzione di decodifica
Figura 7 - All'interno della funzione di decodifica

Prendiamo l'esempio precedente che vogliamo decodificare. “GFHHVGCGEFUGAFOFUGCFMFXHVFJ@”

Dividiamo il processo di decodifica nei seguenti passaggi:

Passaggio 1: prendi il primo carattere (“GGFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertilo in ASCII. Ha un valore di 71. Da questo valore, sottrai 65 (il valore ASCII di 'A'). Il risultato è 6.
6 è il nostro valore ripetitivo durante il processo di decodifica, a cui torneremo più avanti.

Estrazione del primo carattere della stringa codificata
Figura 8 - Estrazione del primo carattere della stringa codificata

Passaggio 2: prendi il carattere successivo ("F" GFHHVGCGEFUGAFOFUGCFMFXHVFJ@) e convertilo in ASCII. Ha un valore di 70. Sottrai 65 (valore ASCII di 'A').
Il risultato è 5.
Supponiamo che sia una variabile X.
Le due righe di codice assembly possono essere rappresentate con la seguente equazione:
(X + 4X) + (X + 4X)*4 => 25X = 25*5 = 125

Estrazione del secondo carattere della stringa codificata
Figura 9 - Passaggio 2

Passaggio 3: prendi il carattere successivo ("H" GFHHVGCGEFUGAFOFUGCFMFXHVFJ), valore ASCII: 72. Sottrai il valore ASCII di 'A': risultato 7.
Aggiungi a quel valore il risultato del passaggio precedente. 125 + 7 = 132.
Da questo valore, sottrai due valori: un valore costante di 66 ('B') e il valore della passaggio 1. 132 – 66 – 6 = 60. In ASCII, “<”. Questo è il primo carattere della nostra stringa decodificata.

Estrazione del terzo carattere della stringa codificata
Figura 10 - Passaggio 3

Passaggio 4: ripetere nuovamente il passaggio 2 + il passaggio 3 con la coppia di caratteri successiva ("H" e "V"  GFHHVG..), creando la stringa decodificata aggiungendo ogni volta il carattere decodificato successivo.

Passaggio 5: @” rappresenta la fine della stringa GFHHVGCGEFUGAFOFUGCFMFXHVFJ@
Ora possiamo stampare il risultato della decodifica del testo codificato: <|PRINCIPAL|>
Questa stringa rappresenta il beacon di comunicazione iniziale inviato dal malware al server C2C.

Un punto da notare…

Una conseguenza di questa metodologia di codifica e decodifica è che caratteri codificati diversi possono produrre lo stesso carattere decodificato.

Per esempio, i caratteri GGC e AFV corrispondono entrambi allo stesso carattere P.

Un altro esempio, per uno scenario più complicato. Parlando di stringhe, sia “GFHHVGCGEFUGAFOFUGCFMFXHVFJ” che “AFBHPFVFXFOFTFIFOFVFGFRHPFD” verrebbero decodificati nello stesso testo in chiaro.

che mostrano due diversi testi cifrati che si decodificano nello stesso testo in chiaro
Figura 11 - Testo cifrato diverso, stesso testo in chiaro

Uno dei benefici di tali algoritmi di codifica e decodifica è che, se la rete viene monitorata, è quasi impossibile comprendere la modalità operativa del malware senza ottenere l'algoritmo di decodifica. Ciò è dovuto all'enorme varietà di opzioni di codifica disponibili per ciascun comando, che fa sì che la stessa modalità operativa eseguita dal malware appaia ogni volta diversa al monitor di rete.

Comandi C2C

Implementazione

Una volta decodificato il comando, il percorso da seguire per il campione è piuttosto semplice. Ogni comando possiede una propria funzione operativa, che consente al truffatore di svolgere vari compiti nel sistema della vittima, tra cui il monitoraggio dello schermo, il controllo di mouse e tastiera e molti altri.

Verifica se il comando è MousePos, responsabile dello spostamento del mouse della vittima
Figura 12 - Verifica se il comando è MousePos, responsabile dello spostamento del mouse della vittima

Comandi principali

Analizziamo i comandi implementati nel malware che consentono al truffatore di eseguire varie attività sul sistema della vittima.

Una volta stabilita la comunicazione, il malware invia un beacon, indicato come "<|PRINCIPAL|>," al server C2C per segnalare l'istituzione della rete.

Una volta completato questo passaggio iniziale, il truffatore ottiene un controllo completo sul sistema della vittima, potendo eseguire una vasta gamma di attività. Un comando cruciale è l'estrazione di preziose informazioni di sistema. Ciò è facilitato dal comando "< |Info| >" , che viene utilizzato per esportare i dettagli fondamentali del sistema della vittima. Questi dettagli comprendono la versione di Windows, la posizione geografica, il browser attualmente attivo e la pagina web correntemente visualizzata. Ecco una risposta illustrativa del malware a questo comando, rispedita al server C2C:

"<|Info|>Win 10<|>Bank x<|>Chrome<|>4:04:12 PM<<"

  • Il vero nome della banca non può essere scritto in questo blog

Questa risposta indica che il sistema della vittima utilizza Windows 10, Chrome e sta visualizzando una pagina web della Banca x alle 16:04:12.

Queste informazioni vengono rubate per diversi motivi. Conoscere il sistema operativo del dispositivo della vittima può semplificare il processo di compromissione del sistema con strumenti dannosi aggiuntivi, poiché ogni strumento potrebbe supportare diverse versioni del sistema, e conoscere il sito della banca di destinazione della vittima può aiutare il truffatore a portare a termine un attacco riuscito.

Conclusione

Gli attacchi di overlay remoto sono oggi tra le minacce più diffuse per i conti bancari degli utenti e rappresentano rischi significativi sia per le banche sia per i loro clienti. Un aspetto critico di questi attacchi riguarda la comunicazione del malware con i suoi operatori, che è parte integrante della loro metodologia operativa. Per eseguire tali attacchi è essenziale stabilire una comunicazione diretta e in tempo reale. Codificando tale comunicazione, il malware intende rendere più difficile invertire il processo e aggiungere un altro mattone al suo muro difensivo. In quanto esperti di cybersecurity, il nostro obiettivo principale è monitorare, analizzare e bloccare queste comunicazioni per prevenire l'attuazione efficace di attività fraudolente.

Rimanere al sicuro

Per proteggersi, gli utenti dovrebbero rivedere regolarmente le applicazioni installate, rimuovendo tempestivamente quelle sconosciute o sospette.

Inoltre, è fondamentale monitorare gli account e-mail per rilevare attività insolite, come tentativi di accesso inaspettati, e tenere d'occhio i portafogli di criptovalute per verificare la presenza di transazioni non autorizzate o azioni sconosciute. Rimanere proattivi e cauti può aiutare a mitigare i rischi posti da questo paradigma di attacco in evoluzione.

IBM Trusteer ti aiuta a rilevare frodi e malware, autenticare gli utenti e stabilire l'attendibilità delle identità lungo il percorso multicanale del cliente. Oltre 500 organizzazioni leader si affidano a IBM Trusteer per proteggere i percorsi digitali dei clienti e supportare la crescita aziendale.

