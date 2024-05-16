Da marzo 2024, IBM X-Force monitora diverse campagne di phishing su larga scala che distribuiscono il trojan bancario Grandoreiro, probabilmente operato come Malware-as-a-Service (MaaS). L'analisi del malware ha rivelato aggiornamenti importanti all'interno dell'algoritmo di decrittazione delle stringhe e generazione di domini (DGA), oltre alla possibilità di utilizzare client Microsoft Outlook su host infetti per diffondere ulteriori e-mail di phishing. L'ultima variante malware prende di mira specificamente oltre 1500 banche globali, permettendo agli attaccanti di compiere frodi bancarie in oltre 60 paesi, tra cui regioni dell'America Centrale e del Sud, Africa, Europa e Indo-Pacifico. Sebbene le campagne siano state tradizionalmente limitate all'America Latina, alla Spagna e al Portogallo, X-Force ha osservato recenti campagne che impersonavano il Servizio di Amministrazione Tributaria (SAT) del Messico, la Commissione Federale per l'Elettricità (CFE) del Messico, la Segreteria di Amministrazione e Finanze del Messico, il Servizio delle Entrate dell'Argentina e, in particolare, il Servizio delle Entrate del Sudafrica (SARS). Il malware rielaborato e il nuovo targeting potrebbero indicare un cambiamento di strategia rispetto all'ultima azione delle forze dell'ordine contro Grandoreiro, probabilmente spingendo gli operatori a iniziare ad espandere la distribuzione di Grandoreiro nelle campagne globali di phishing, a partire dal Sudafrica.
Da marzo 2024, X-Force ha osservato campagne di phishing che si spacciano per il Servizio di Amministrazione Tributaria (SAT) messicano, la Commissione Federale per l'Elettricità (CFE), la Segreteria di Amministrazione e Finanze della città del Messico e il Servizio delle Entrate dell'Argentina. Le e-mail si rivolgono agli utenti dell'America Latina, compresi i domini di primo livello (TLD) di Messico, Colombia e Cile ".mx", ".co" e ".cl". Tutte le identità reali sono state cancellate dalle immagini per motivi di privacy personale.
La prima campagna sembra essere un tentativo di apparire ufficiale e urgente e informa il bersaglio che sta ricevendo un avviso finale relativo a un addebito per la Quota di Registrazione del Contribuente Federale (RFC) non ancora pagata. In caso di mancato pagamento, le conseguenze possono includere sanzioni, multe e il blocco del numero di identificazione fiscale dell'utente, compromettendo la capacità del bersaglio di svolgere attività commerciali e di accedere legalmente ai servizi governativi. Una campagna aggiuntiva impersona la Commissione Federale per l'Elettricità (CFE) del Messico e ricorda al destinatario che si è abbonato a CFEMail e quindi può accedere al proprio estratto conto in formato PDF e XML cliccando su uno dei collegamenti incorporati. Una terza campagna, che imita la Segreteria di Amministrazione e Finanze, indirizza il destinatario a cliccare su un PDF per leggere i dettagli di un avviso di conformità. Una campagna che imita il Servizio delle Entrate dell'Argentina istruisce l'utente a scaricare un nuovo documento fiscale e a compiere le azioni appropriate.
In ciascuna campagna, ai destinatari viene richiesto di fare clic su un link per visualizzare una fattura o un addebito, un estratto conto, effettuare un pagamento, ecc., a seconda dell'ente impersonato. Se l'utente che clicca sui link si trova in un paese specifico (a seconda della campagna, Messico, Cile, Spagna, Costa Rica, Perù o Argentina), viene reindirizzato a un'immagine di un'icona PDF e un file ZIP viene scaricato sullo sfondo. I file ZIP contengono un grande eseguibile mascherato da un'icona PDF, che si scopre essere stato creato il giorno prima o il giorno dell'invio dell'e-mail.
Fig 1, 2: Esempi di e-mail che impersonano SAT e CFE
Fig 3, 4: Segreteria di Amministrazione e Finanze e AFIP
Tipicamente il malware Grandoreiro si trova nelle campagne che prendono di mira gli utenti all'interno dell'America Latina; tuttavia, dopo recenti arresti che coinvolgono operatori di Grandoreiro, X-Force ha visto un aumento delle campagne che raggiungono aree fuori LATAM, inclusi TLD provenienti da Spagna, Giappone, Paesi Bassi e Italia. X-Force ha osservato una campagna di phishing che si spacciava per il Servizio delle Entrate del Sudafrica (SARS), fingendo di provenire dalla divisione dei servizi di assistenza ai contribuenti. Probabilmente eseguite dallo stesso operatore, X-Force ha anche osservato due campagne che impersonavano il Servizio di Amministrazione Tributaria del Messico. Le e-mail sono scritte in inglese o spagnolo e hanno lo stesso formato. Le e-mail fanno riferimento a un numero fiscale e informano il destinatario che sta ricevendo una fattura fiscale elettronica conforme alle normative stabilite dal Servizio delle Entrate del Sudafrica, o in conformità con le normative del Servizio di Amministrazione Tributaria. All'utente viene fornito un link PDF o XML per visualizzare la fattura, che avvia il download di un archivio ZIP contenente il file eseguibile del loader di Grandoreiro "SARS 35183372 eFiling 32900947.exe" (le cifre variano tra i campioni).
Fig 5, 6, 7: Esempi di e-mail che impersonano SAT e SARS
In linea con le campagne precedenti, la catena di infezione di Grandoreiro inizia con un caricatore personalizzato. Spesso, il file eseguibile viene gonfiato fino a una dimensione superiore a 100 MB per ostacolare la scansione automatica degli antivirus. Nella speranza di aggirare l'esecuzione automatica, mostra un piccolo pop-up CAPTCHA che imita Adobe PDF reader, che richiede un clic per continuare l'esecuzione.
Fig 8: Grandoreiro crea un falso CAPTCHA in Adobe PDF reader
Il loader ha tre compiti principali:
Tutte queste attività richiedono più di 120 stringhe importanti, che vengono crittografate utilizzando un algoritmo migliorato.
Per prima cosa, Grandoreiro inizia generando una stringa di chiavi di grandi dimensioni, codificata in modo rigido e con codifica Base64 tripla. La chiave osservata in questi campioni inizia con "D9JL@2]790B{P_D}Z-MXR&EZLI%3W>#VQ4UF+O6XVWB16713NIO!E…". Prende quindi la stringa cifrata e utilizza una decodifica personalizzata per convertirla in una serie di caratteri esadecimali interpretati come byte.
Fig 9: Codifica esadecimale personalizzata di Grandoreiro (nota che la codifica di caratteri non esadecimali come '"' non viene mai utilizzata)
Grandoreiro decifra il risultato tramite il vecchio algoritmo Grandoreiro utilizzando la stringa chiave. Di seguito è riportata un'implementazione in Python della routine di decrittazione:
Infine, viene sottoposto a un ultimo ciclo di decrittazione e unpadding AES CBC a 256 bit per recuperare la stringa di testo in chiaro. Sia la chiave AES che l'Initiation Vector (IV) sono inoltre memorizzati come stringhe crittografate e devono essere decrittografati utilizzando lo stesso algoritmo di cui sopra, saltando però la decrittazione AES. Il grafico qui sotto offre una panoramica dell'intero processo di decrittazione:
Fig 10: Decrittazione delle stringhe del loader di Grandoreiro
Per verificare che una vittima non faccia parte di un ambiente sandbox, il loader di Grandoreiro raccoglie le seguenti informazioni e le confronta con un elenco di valori codificati fissamente (vedi Appendice):
Questo passaggio di verifica viene utilizzato anche per escludere vittime provenienti da specifici paesi. Un campione non ha proseguito l'esecuzione per infezioni con IP pubblici provenienti da:
Il campione ha anche impedito le infezioni dei computer Windows 7 negli Stati Uniti privi di antivirus.
Il passo successivo di esecuzione tenta di costruire un profilo base della vittima da mostrare sul pannello C2. Il malware elenca le seguenti informazioni sulla macchina vittima:
Grandoreiro concatena i risultati utilizzando la stringa "*~+" e la invia come parte della richiesta di payload crittografata al server C2.
Il server C2 del loader di Grandoreiro può essere decifrato tramite lo stesso algoritmo spiegato sopra. Il nome di dominio risultante viene risolto tramite DNS over HTTPS attraverso l'URL https://dns.google/resolve?name=<C2 server> per bypassare il blocco basato su DNS. Dopo aver ricevuto l'indirizzo IP del C2, il malware prende le prime 4 cifre dell'IP ed esegue 4 diverse mappature cifra per cifra, ottenendo così un numero di porta a 4 cifre.
Quindi concatena la stringa di profilazione della vittima riportata sopra con un messaggio portoghese in maiuscolo "CLIENT_SOLICITA_DDS_MDL" (probabilmente tradotto come "Il client richiede i dati del modulo"). Una stringa di esempio potrebbe essere:
La stringa viene criptata e inviata come percorso URL tramite una richiesta HTTP GET al server C2 che richiede il payload finale Grandoreiro.
In caso di successo, il server C2 risponde con un codice di stato HTTP 200 contenente un altro messaggio crittografato. Contiene le seguenti informazioni:
Esempio:
Per il download, Grandoreiro emette un'altra richiesta HTTP GET all'URL del payload. Il file scaricato viene memorizzato nella directory specificata in "C:\ProgramData\". Successivamente, il file viene decrittografato tramite un algoritmo basato su RC4 utilizzando la chiave "7684223510". Infine, viene decompresso utilizzando la libreria Delphi "ZipForge" e il file scaricato originariamente viene eliminato.
L'archivio può contenere due file, un .EXE (trojan bancario Grandoreiro) e un .CFG (file di configurazione).
Prima dell'esecuzione, il loader esegue una enumerazione dei gruppi di appartenenza del token del processo corrente, verificando specificamente la presenza del SID SECURITY_NT_AUTHORITY. Se il processo possiede i privilegi richiesti, il loader utilizza la funzione ShellExecuteW() con il verbo "runas" per eseguire il payload Grandoreiro con privilegi elevati. Al contrario, se i privilegi necessari non sono disponibili, il loader ricorre a eseguire se stesso tramite ShellExecuteW() senza elevazione.
Durante tutte le fasi dell'infezione (il download del payload, la decrittazione e l'esecuzione) il caricatore Grandoreiro riporta messaggi di stato al suo server C2. Alcuni esempi sono:
Il payload finale è il trojan bancario Grandoreiro. L'ultima versione ha subito aggiornamenti importanti, principalmente all'interno degli algoritmi di decrittazione delle stringhe e di calcolo del DGA. Include inoltre un vasto numero di applicazioni bancarie globali da prendere di mira, nonché per supportare l'esecuzione e consentire agli aggressori di effettuare frodi bancarie in decine di paesi. Insieme a un modulo specializzato di Outlook spreader e a un'ampia gamma di caratteristiche, è uno dei più grandi trojan bancari conosciuti e l'analisi è ancora in corso. Le sezioni seguenti offrono uno sguardo approfondito alle caratteristiche più notevoli di Grandoreiro, evidenziandone le funzioni e le funzionalità essenziali.
Grandoreiro inizia stabilendo la persistenza tramite il registro di Windows. Esegue il seguente comando per creare una nuova chiave Run nel registro e avviare il malware all'accesso dell'utente:
Si noti che il nome della chiave può variare tra i campioni, ma spesso è collegato al nome originale del payload scaricato. Se Grandoreiro non viene eseguito in un processo elevato, il verbo "/runas" viene omesso.
Oltre al file .CFG, Grandoreiro crea anche un file .XML nella directory C:\Public\. Viene criptato tramite la routine di crittografia delle stringhe del loader e memorizza il nome del file eseguibile Grandoreiro, il percorso e la data di infezione.
Se Grandoreiro non trova il suo file .CFG, popolerà un nuovo .CFG con valori predefiniti che specificano quali funzioni di Grandoreiro sono abilitate, il paese della vittima e la data di infezione. Il file .CFG viene criptato tramite l'algoritmo di crittografia delle stringhe di Grandoreiro, spiegato più avanti.
Gli operatori di Grandoreiro hanno aggiornato in modo significativo l'elenco delle applicazioni bancarie mirate, ora rivolte a più di 1500 banche in tutto il mondo. Le varianti più recenti iniziano prima determinando se la vittima è nella lista dei paesi presi di mira. Ogni paese è anche mappato a una regione più grande, che Grandoreiro usa per determinare quali ricerche di stringhe eseguire sulle finestre attualmente attive. Ciò significa che, se ad esempio il paese della vittima viene identificato come il Belgio, verranno cercate tutte le applicazioni bancarie prese di mira associate alla regione Europa. Grandoreiro mappa internamente i paesi alle categorie Europa, Nord America, America Centrale, Sud America, Africa, Indo-Pacifico e isole globali, con ogni paese che ha una classe Delphi associata per cercare applicazioni. Inoltre, Grandoreiro ha una classe che cerca 266 stringhe uniche che identificano i portafogli di criptovalute, che viene eseguita su ogni infezione.
Fig 11: Grandoreiro lancia un nuovo thread in base alla regione del paese rilevata
La heatmap qui sotto evidenzia il numero di applicazioni bancarie uniche associate a ciascun paese. Si noti che ogni app può essere rilevata con più stringhe:
Fig 12: Applicazioni bancarie prese di mira da Grandoreiro per paese (create utilizzando Datawrapper e popolate con informazioni provenienti dalla ricerca del team X-Force)
Grandoreiro si è tradizionalmente affidato agli algoritmi di generazione di domini (DGA) per calcolare il server C2 attivo in base alla data attuale. L'ultima iterazione di Grandoreiro contiene un algoritmo rielaborato e fa un ulteriore passo avanti introducendo più seed per il suo DGA. Questi seed vengono utilizzati per calcolare un dominio diverso per ogni modalità o funzionalità del trojan bancario, consentendo la separazione dei compiti C2 tra diversi operatori nell'ambito della loro operazione Malware-as-a-Service. Ogni campione di Grandoreiro può avere un seed principale predefinito nel caso in cui manchi il file di configurazione, oltre a un elenco di seed specifici per una funzione. Il campione analizzato da X-Force conteneva 14 seed diversi, che danno origine a 14 possibili domini C2 ogni giorno. Per spiegare l'algoritmo, calcoleremo i domini per il 17 aprile 2024. Il seguente grafico fornisce una visualizzazione dell'algoritmo con una spiegazione in basso:
Fig 13: Visualizzazione DGA
Partendo dall'apice del dominio, Grandoreiro ha un dominio mappato per ogni giorno dell'anno. Esistono due di queste mappature, una per il C2 principale e una per tutti i C2 specifici della funzione. Tuttavia, dei 732 domini apicali, solo 337 sono unici. Per il giorno dato, l'apice primario è dnsfor[.]me e il secondario è neat-url[.]com.
Nella parte successiva, Grandoreiro concatena il seed "xretsmzrb" (il seed principale) con il mese corrente formattato a 2 cifre, sostituendo ogni cifra con tre caratteri hardcoded. Le cifre "0" e "4" vengono sostituite rispettivamente con "oit" e "zia", ottenendo la stringa completa "xretsmzrboitzia".
Infine, per ogni giorno del mese, Grandoreiro ha una mappatura personalizzata per la sostituzione dei caratteri. Per il 17°, dopo aver eseguito iterativamente tutte le 26 sostituzioni di caratteri, la stringa finale del sottodominio è "wondbbhonandhnd".
Dopo aver calcolato i domini rimanenti per tutti i seed hardcoded, l'elenco dei domini C2 per il 17 aprile 2024 diventa:
X-Force è riuscita a confermare che quel giorno almeno 4 domini erano riconducibili a IP con sede in Brasile:
La porta del server C2 viene calcolata dalle prime quattro cifre dell'indirizzo IP tramite una mappatura personalizzata cifra per cifra, proprio come nel loader di Grandoreiro. Vedi l'Appendice per l'elenco completo di tutti i domini di Grandoreiro precalcolati. Da notare che Grandoreiro cambia spesso i seed. Poche settimane dopo l'infezione iniziale, X-Force ha osservato che solo il server C2 del seed principale rimaneva attivo.
Le ricerche sulla telemetria DNS di X-Force per l'inizio di maggio mostrano che le infezioni attuali si trovano principalmente in America Latina:
Fig 14: Geolocalizzazioni delle infezioni all'inizio di maggio
Dopo aver tentato di risolvere il DGA calcolato, Grandoreiro invia uno dei diversi messaggi di registrazione concatenati con dati di enumerazione e criptati, proprio come il loader di Grandoreiro. I seguenti messaggi possono essere inviati in base ai privilegi, all'AV installato e ai domini C2 attivi:
Grandoreiro supporta un gran numero di comandi diversi, tra cui i seguenti:
Il malware supporta anche specificamente l'apertura di URL rigidi di Banco Banorte:
Consente inoltre l'esecuzione di comandi JavaScript nel browser per simulare clic di pulsanti HTML:
javascript:document.getElementById(‘ctl00_Contentplaceholder1_lbNuevaCuenta’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnAceptar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_btnContinuar’).click();
javascript:document.getElementById(‘ctl00_Contentplaceholder1_Button17’).click();
A causa del gran numero di comandi diversi e della loro denominazione, il codice di Grandoreiro sembra contenere nuovi comandi aggiunti e caratteristiche legacy non più attivamente utilizzate. È probabile che il trojan bancario stia attraversando frequenti cicli di sviluppo per aggiungere nuove caratteristiche senza troppi refactoring, contribuendo alle dimensioni complessive della base di codice.
Una delle funzionalità più interessanti di Grandoreiro è la sua capacità di diffondersi raccogliendo i dati da Outlook e utilizzando l'account della vittima per inviare spam e-mail. In Grandoreiro sono implementati almeno 3 meccanismi per raccogliere ed esfiltrare indirizzi e-mail, ognuno dei quali utilizza un seed DGA diverso. Utilizzando il client Outlook locale per lo spam, Grandoreiro può diffondersi tramite e-mail nelle caselle di posta delle vittime infette, il che probabilmente contribuisce all'elevato volume di spam osservato da Grandoreiro.
In modalità di raccolta per Outlook, Grandoreiro cambia il suo server C2 al seed DGA 7, utilizzato per esfiltrare i dati. I messaggi di registrazione e di stato continuano a essere inviati al server C2 principale. Ad esempio, prima di iniziare il processo di raccolta, invia un log contenente gli stessi dati di profilazione della vittima, insieme alle stringhe "CLIENT_SOLICITA_DD_EMSOUT" (il client richiede i dati EMSOUT) e "COLHENDO" (raccolta).
Per interagire con il client Outlook locale, Grandoreiro utilizza lo strumento Outlook Security Manager, un software utilizzato per sviluppare componenti aggiuntivi di Outlook. Il motivo principale è che Outlook Object Model Guard attiva gli avvisi di sicurezza se rileva l'accesso agli oggetti protetti. Outlook Security Manager consente a Grandoreiro di disattivare questi avvisi sia durante la raccolta che durante lo spamming. A seconda dell'architettura del sistema, lo strumento richiede il file DLL "secman.dll" o "secman64.dll" da registrare come server COM. Quindi utilizza MAPI per interagire con Outlook.
Il malware inizia individuando la cartella principale della casella di posta elettronica e poi itera ricorsivamente tra gli elementi delle e-mail. Per ogni e-mail, controlla la proprietà "SenderEmailAddress" ed esegue una blocklist su di essa, per filtrare gli indirizzi e-mail indesiderati da raccogliere:
Gli indirizzi e-mail che non contengono nessuna delle stringhe sopra vengono aggregati in un file di testo, compressi in ZIP ed estratti.
Oltre al processo di raccolta sopra, Grandoreiro supporta anche l'aggiunta di un file PST a Outlook prima tramite la funzione Namespace.AddStore(). Un altro meccanismo di raccolta supportato attraversa ricorsivamente il file system della vittima e scansiona i file alla ricerca di indirizzi e-mail. I file con le seguenti estensioni vengono aperti e scansionati:
"*.txt", "*.csv", "*.html", "*.xml", "*.dat", "*.db", "*.sqlite", "*.xlsx", "*.xls", "*.xlsm", "*.dbf", "*.doc", "*.docx", "*.docm"
Per evitare scansioni inutili, Grandoreiro mantiene un'altra blocklist di percorsi da non scansionare, escludendo le comuni directory di sistema.
Per inviare e-mail di spam, Grandoreiro utilizza template di phishing che riceve dal suo server C2. Successivamente, elabora il template compilando i campi segnaposto come:
Poco prima di iniziare a inviare le e-mail, Grandoreiro avvia un thread che rileva eventuali finestre di dialogo apparenti e le chiude inviando sequenze di tasti TAB e BARRA SPAZIATRICE. Dopo aver inviato le e-mail, il malware copre accuratamente le sue tracce cancellando i messaggi inviati dalla casella di posta elettronica della vittima. Inoltre, per molti dei comportamenti di raccolta e spamming, Grandoreiro si assicura che l'ultimo input sul computer infetto risalga ad almeno 5 minuti fa (o in alcuni casi più a lungo). Probabilmente gli sviluppatori volevano assicurarsi che le vittime non notassero comportamenti sospetti.
Durante lo spamming, Grandoreiro segnala i seguenti messaggi di stato:
Essendo Grandoreiro un malware così esteso, richiede un'enorme quantità di stringhe, che renderebbe molto facile il rilevamento se fossero lasciate non criptate. Grandoreiro contiene più di 10.000 stringhe distribuite in oltre cento funzioni specifiche per il caricamento delle stringhe. Il meccanismo di decrittazione differisce leggermente da quello delle stringhe del loader:
Utilizza la stessa chiave Grandoreiro del loader, che decifra tramite la crittografia personalizzata e la chiave "A". Una volta acquisita la chiave, il sistema esegue una decodifica personalizzata della stringa cifrata seguendo la stessa codifica del loader e procede alla decrittazione dei byte ottenuti tramite AES in modalità ECB con la implementazione Pascal di ElAES. La chiave AES è una versione criptata della chiave Grandoreiro precedentemente decifrata. Dopo un altro ciclo di decodifica personalizzata, la stringa viene infine decrittata tramite il vecchio algoritmo Grandoreiro e la chiave Grandoreiro.
Fig 15: Decrittazione delle stringhe del trojan bancario Grandoreiro
X-Force ha osservato diverse recenti campagne di phishing che si spacciavano per enti di governo ufficiali per distribuire il trojan bancario Grandoreiro. I distributori di Grandoreiro si rivolgono tipicamente agli utenti in America Latina; tuttavia, dall'ultima azione delle forze dell'ordine contro gli operatori di Grandoreiro, X-Force ha osservato la diffusione del malware al di fuori di LATAM, includendo regioni dell'America Centrale e Meridionale, Africa, Europa e Pacifico. I campioni del trojan bancario Grandoreiro analizzati da X-Force hanno subito importanti aggiornamenti all'interno degli algoritmi di decrittazione delle stringhe e di calcolo DGA. Questi campioni appena analizzati includono ora un vasto numero di almeno 1500 applicazioni bancarie globali da prendere di mira, che supportano l'esecuzione e permettono agli aggressori di compiere frodi bancarie in oltre 60 paesi. Gli aggiornamenti apportati al malware, oltre al significativo aumento delle applicazioni bancarie in diversi paesi, indicano che i distributori di Grandoreiro stanno cercando di condurre campagne e distribuire malware su scala globale.
Invitiamo le organizzazioni che potrebbero essere colpite da queste campagne a esaminare le seguenti raccomandazioni:
