Attenzione ad ‘AVE_MARIA’, il virus che ruba le password delle mail

Articolo per today del 14/01/2019

Il malware, che prende il nome da una stringa del suo codice, è in grado di catturare le credenziali degli indirizzi di posta elettronica

I ricercatori lo hanno battezzato ‘AVE_MARIA’ e si tratta del nuovo virus in grado di rubare informazioni che potrebbe mettere a repentaglio milioni di pc in tutto il globo. Secondo l’analisi tecnica effettuata dagli esperti del CERT, il codice del malware è in grado di catturare le credenziali di posta elettronica della vittima da Microsoft Exchange Client o Outlook e decifrare tutte le password memorizzate dal browser Mozilla Firefox. I ricercatori di Cybaze-Yoroi ZLab hanno analizzato questa “campagna di phishing, individuata alla fine dello scorso anno e mirata ad un’azienda italiana che opera nel settore energetico” attraverso mail che apparivano come “provenienti da un fornitore e simulavano l’invio di fatture e conferme di spedizione di materiali”.

Come agisce il virus AVE_MARIA

“Il malware – aggiungono gli esperti – contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe”. Come opera questo bot? “Per prima cosa contatta un server C&C da cui riceve istruzioni sulla successiva azione da eseguire” ma “il server controllato dagli attaccanti non è più al momento attivo” si legge.

Attenzione alle mail

Le email, riporta il CERT (Computer Emergency Response Team), “contenevano allegati malevoli in formato Microsoft Excel, appositamente predisposti per scaricare ed eseguire un malware da un sito web compromesso”, “sfruttando la vulnerabilità nota CVE-2017-11882, già corretta da Microsoft con un aggiornamento fuori banda il 28 novembre del 2017. I domini utilizzati in questa campagna sono rimasti attivi solo per pochi giorni attorno alla metà di dicembre 2018”.

La catena di infezione – proseguono gli esperti – ha inizio quando la vittima apre il documento Excel malevolo che, a sua volta, scarica sulla macchina bersaglio un archivio WinRAR auto-estraente configurato per decomprimere il suo contenuto nella cartella ‘%TEMP%\04505187’ e lanciare una specifica routine di configurazione”.

I dati spazzatura

“Tutti i file scaricati – si legge ancora – hanno estensioni non correlate al loro contenuto allo scopo di sviare l’analisi e la maggior parte di questi contengono dati ‘spazzatura’”, tranne i file ‘xfi.exe’ (interprete in grado di eseguire un programma col linguaggio di scripting AutoIt); ‘hbx=lbl:’ (primo script AutoIt offuscato) e ‘uaf.icm:’ (file in formato INI contenente tutti i parametri di configurazione del malware tra cui la cartella di installazione, il nome dell’interprete e altri parametri utilizzati negli stadi successivi dell’infezione)”.