Roma225, il malware natalizio
Un Natale non molto tranquillo per l’industria italiana di auto e moto: Roma225 si è presentato poco prima delle feste, riuscendo però ad essere fermato. I sistemi Cybaze e Yoroi sono stati fondamentali per evitare l’infezione dei computer.
I dettagli dell’attacco sono stati svelati quasi subito dalle aziende di cyber security, identificando in Roma225 un malware che viaggiava via mail. Vediamo nel dettaglio di che cosa si tratta.
Roma225: come funziona?
Iniziamo col dire che il malware era stato inviato via mail impersonando un senior partner di uno studio di avvocati brasiliano, “Veirano Advogados“, chiaramente estraneo alla vicenda. La mail aveva in allegato un documento power point, in cui era presente una Macro VBA. Questa Macro conteneva un’istruzione che invocava il tool “mshta.exe”, che scaricava la pagina web “https://minhacasaminhavidacdt.blogspot.com“.
Analizzando il codice sorgente, si è scoperto un post invisibile sulla pagina, che conteneva codice VBScript. L’autore del malware ha anche tentato di attribuire la paternità dello script a Microsoft, aggiungendo alcuni commenti appartenenti a veri servizi dell’azienda.
All’interno dello script erano presenti una serie di comandi atti ad eseguire operazioni dannose. In particolare, l’obiettivo dello script era quello di installare un RevengeRAT. Un RAT è un Remote Access Trojan, che permette all’attaccante di ottenere i privilegi della vittima ed accedere e rubare dati sensibili. Questo tipo di malware utilizza una backdoor per l’accesso remoto al computer attaccato. Il RAT, in questo caso, veniva scaricato appunto tramite la mail. Una volta che il sistema è stato compromesso, può essere utilizzato per inviare RAT anche agli altri computer della rete e creare una BotNet.
Del RevengeRAT veniva scaricato prima il payload in una versione con encoding base64, poi successivamente decodificato ed installato. Dopodiché, veniva creato ed eseguito un altro VBScript, anch’esso in grado di scaricare un nuovo payload da una destinazione remota. Alla fine di queste operazioni, veniva creato un nuovo task che eseguiva “mshta.exe” ogni due ore.
Una volta eseguito, il RAT contattava i server di controllo e inviava le informazioni della macchina della vittima. Stabilita la connessione TCP col server, il malware inviava la seguente stringa di informazioni:
Possiamo notare la stringa “roma225” utilizzata come separatore tra i diversi campi, da cui deriva appunto il nome dell’attacco. Decodificando la stringa, l’informazione risultante è di questo tipo:
Chi è il colpevole?
I server destinatari delle informazioni sono stati localizzati in Canada e Brasile, mentre il modus operandi è molto simile a quello di Gorgon Group. L’organizzazione è tenuta sotto osservazione da “Unit 42”, un gruppo di analisti ed esperti di cyber sicurezza, che hanno individuato in passato attacchi contro Stati Uniti, Russia, Spagna e Regno Unito.
Questo non basta però a identificare il gruppo come colpevole, e le indagini sono ancora in corso. È stato confermato l’attacco a due aziende italiane, ma potrebbero esserci altre potenziali vittime di cui non siamo ancora a conoscenza.