Gli annunci di Google spingono malware "virtualizzato" creato per l'evasione dell'antivirus

Una campagna di malvertising di annunci Google in corso sta diffondendo programmi di installazione di malware che sfruttano la tecnologia di virtualizzazione KoiVM per eludere il rilevamento durante l'installazione del ladro di dati Formbook.

KoiVM è un plug-in per la protezione ConfuserEx .NET che offusca i codici operativi di un programma in modo che solo la macchina virtuale li capisca. Quindi, quando viene avviata, la macchina virtuale traduce i codici operativi nella loro forma originale in modo che l'applicazione possa essere eseguita.

"I framework di virtualizzazione come KoiVM offuscano gli eseguibili sostituendo il codice originale, come le istruzioni NET Common Intermediate Language (CIL), con codice virtualizzato che solo il framework di virtualizzazione comprende", spiega un nuovo rapporto di SentinelLabs.

"Un motore di macchina virtuale esegue il codice virtualizzato traducendolo nel codice originale in fase di esecuzione."

"Quando viene utilizzata in modo dannoso, la virtualizzazione rende difficile l'analisi del malware e rappresenta anche un tentativo di eludere i meccanismi di analisi statica".

In una campagna pubblicitaria di Google individuata da Sentinel Labs, gli attori delle minacce spingono il malware che ruba informazioni Formbook come caricatori .NET virtualizzati soprannominati "MalVirt", che aiutano a distribuire il payload finale senza attivare avvisi antivirus.

Sentinel Labs commenta che mentre la virtualizzazione KoiVM è popolare per gli strumenti di hacking e crack, raramente viene utilizzata nella distribuzione di malware.

Invece, la società di sicurezza ritiene che la nuova tendenza nel suo utilizzo potrebbe essere uno dei molteplici effetti collaterali della disabilitazione delle macro in Office da parte di Microsoft.

Abuso degli annunci di ricerca di Google

Nell'ultimo mese, i ricercatori hanno notato un aumento dell'abuso degli annunci della rete di ricerca di Google per distribuire vari malware, tra cui RedLine Stealer, Gozi/Ursnif, Vidar, Rhadamanthys stealer, IcedID, Raccoon Stealer e molti altri.

Nella campagna in corso vista da SentinelLabs, gli attori delle minacce spingono i caricatori MalVirt in annunci che fingono di essere per il software Blender 3D.

I download offerti da questi siti falsi utilizzano firme digitali non valide che impersonano Microsoft, Acer, DigiCert, Sectigo e AVG Technologies USA.

Sebbene queste firme non valide non inducano Windows a mostrarle come firmate, i caricatori MalVirt contengono comunque funzionalità per evitare il rilevamento.

"Ad esempio, alcuni campioni correggono la funzione AmsiScanBuffer implementata in amsi.dll per aggirare l'Anti Malware Scan Interface (AMSI) che rileva i comandi dannosi di PowerShell", spiega il ricercatore A. Milenkoski.

"Inoltre, nel tentativo di eludere i meccanismi di rilevamento statico, alcune stringhe (come amsi.dll e AmsiScanBuffer) sono codificate Base-64 e crittografate con AES."

I caricatori possono anche rilevare se vengono eseguiti in un ambiente virtualizzato interrogando chiavi di registro specifiche e, in tal caso, l'esecuzione si interrompe per eludere l'analisi.

MalVirt utilizza anche un driver Microsoft Process Explorer firmato caricato all'avvio del sistema come "TaskKill", che gli consente di modificare i processi in esecuzione per evitare il rilevamento.

Per eludere anche la decompilazione del codice virtualizzato, i caricatori utilizzano anche una versione modificata di KoiVM che presenta ulteriori livelli di offuscamento, rendendo la sua decifrazione ancora più impegnativa.

SentinelLabs afferma che questa implementazione personalizzata di KoiVM confonde i framework di devirtualizzazione standard come "OldRod" offuscando la sua routine attraverso operazioni aritmetiche invece di utilizzare semplici assegnazioni.

Milenkoski afferma che è possibile sconfiggere l'offuscamento in questi caricatori MalVirt e ripristinare l'ordine originale delle 119 variabili costanti di KoiVM.

Tuttavia, l'offuscamento aggiuntivo lo rende difficile, richiedendo un pesante lavoro manuale poiché gli strumenti automatizzati esistenti non possono essere d'aiuto.

Il malware che ruba informazioni mescola il suo traffico reale con varie richieste HTTP "fumose" il cui contenuto è crittografato e codificato in modo da non risaltare.

Il malware comunica con quegli IP in modo casuale, selezionandoli da un elenco codificato con domini ospitati da varie società.

SentinelLabs afferma che nei campioni analizzati, ha visto Formbook comunicare con 17 domini, solo uno dei quali era l'effettivo server C2, e il resto fungeva da semplice esca per confondere gli strumenti di monitoraggio del traffico di rete.

Questo è un nuovo sistema su un ceppo di malware piuttosto vecchio, il che indica che i suoi operatori sono interessati a potenziarlo con nuove funzionalità che lo renderanno migliore nel rimanere nascosto agli strumenti di sicurezza e agli analisti.