L’antivirus e il sottosistema Linux di Windows sarebbero stati sfruttati dagli hacker per diffondere malware.

Attacchi malware a Defender e WSL

Stando a quanto riportano nuove indagini dei ricercatori di sicurezza Microsoft Defender sarebbe stato sfruttato per effettuare attacchi malware per colpire i clienti di alcune banche europee. Nello specifico il malware Zloader sarebbe in grado di disabilitare l’antivirus di Microsoft per eludere il rilevamento del furto di dati bancari degli utenti.

ZLoader è un tipico trojan bancario che implementa la web injection per rubare cookie, password e qualsiasi informazione sensibile. Attacca gli utenti delle istituzioni finanziarie di tutto il mondo ed è stato anche utilizzato per fornire famiglie di ransomware come Egregor e Ryuk . Fornisce inoltre funzionalità backdoor e funge da caricatore generico per fornire altre forme di malware. Le versioni più recenti implementano un modulo VNC che consente agli utenti di aprire un canale nascosto che fornisce agli operatori l’accesso remoto ai sistemi delle vittime. ZLoader si basa principalmente sullo scambio di dati dinamici (DDE) e sull’offuscamento delle macro per fornire il carico utile finale attraverso documenti predisposti.

Una recente evoluzione della catena di infezione ha incluso la creazione dinamica di agenti, che scaricano il payload da un server remoto. La nuova catena di infezioni osservata da SentinelLabs dimostra un livello più elevato di invisibilità disabilitando Windows Defender e facendo affidamento su script e binari LOLBAS per eludere il rilevamento. Durante la nostra indagine, siamo stati anche in grado di mappare tutta la nuova infrastruttura ZLoader C2 relativa alla botnet “Tim” e identificare l’ambito della campagna e i suoi obiettivi, che riguardavano principalmente il furto di credenziali bancarie dai clienti delle banche europee.

In un altro report dei ricercatori di sicurezza da parte di alcuni hacker sarebbero stati creati dei binari Linux dannosi per sfruttare Windows Subsystem for Linux (WSL) per compromettere e eludere il rilevamento dei malware da parte di Windows.

Black Lotus Labs ha recentemente identificato diversi file dannosi scritti principalmente in Python e compilati nel formato binario Linux ELF (Executable and Linkable Format) per il sistema operativo Debian. Questi file fungevano da caricatori eseguendo un payload incorporato nell’esempio o recuperato da un server remoto e quindi inserito in un processo in esecuzione utilizzando le chiamate API di Windows. Sebbene questo approccio non fosse particolarmente sofisticato, la novità di utilizzare un caricatore ELF progettato per l’ambiente WSL ha dato alla tecnica un tasso di rilevamento di uno o zero in Virus Total, a seconda del campione, al momento della stesura di questo documento.

Finora, abbiamo identificato un numero limitato di campioni con un solo indirizzo IP instradabile pubblicamente, indicando che questa attività è di portata piuttosto limitata o potenzialmente ancora in fase di sviluppo. A nostra conoscenza, questo piccolo insieme di esempi indica la prima istanza di un attore che abusa di WSL per installare i payload successivi. 

Che ne pensate di questa vicenda? Vi fidate dei sistemi di protezione di Windows? Fatecelo sapere nei commenti.

Articolo di Windows Blog Italia
Fonti | 1, 2