Attenzione ad 'AVE_MARIA', il virus che ruba le password delle mail

I ricercatori lo hanno battezzato 'AVE_MARIA' e si tratta del nuovo virus in grado di rubare informazioni che potrebbe mettere a repentaglio milioni di pc in tutto il globo. Secondo l'analisi tecnica effettuata dagli esperti del Cert, il codice del malware è in grado di catturare le credenziali di posta elettronica della vittima da Microsoft Exchange Client o Outlook e decifrare tutte le password memorizzate dal browser Mozilla Firefox. I ricercatori di Cybaze-Yoroi ZLab hanno analizzato questa "campagna di phishing, individuata alla fine dello scorso anno e mirata ad un’azienda italiana che opera nel settore energetico" attraverso mail che apparivano come "provenienti da un fornitore e simulavano l'invio di fatture e conferme di spedizione di materiali".

Come agisce il virus AVE_MARIA

"Il malware - aggiungono gli esperti - contiene una utility (uac_bypass) che consente di aggirare il modulo di protezione UAC (Controllo Account Utente) di Windows, sfruttando una vulnerabilità dello strumento pkgmgr.exe". Come opera questo bot? "Per prima cosa contatta un server C&C da cui riceve istruzioni sulla successiva azione da eseguire" ma "il server controllato dagli attaccanti non è più al momento attivo" si legge.

Attenzione alle mail

Le email, riporta il Cert - Computer Emergency Response Team, "contenevano allegati malevoli in formato Microsoft Excel, appositamente predisposti per scaricare ed eseguire un malware da un sito web compromesso", "sfruttando la vulnerabilità nota CVE-2017-11882, già corretta da Microsoft con un aggiornamento fuori banda il 28 novembre del 2017. I domini utilizzati in questa campagna sono rimasti attivi solo per pochi giorni attorno alla metà di dicembre 2018".

"La catena di infezione - proseguono gli esperti - ha inizio quando la vittima apre il documento Excel malevolo che, a sua volta, scarica sulla macchina bersaglio un archivio WinRAR auto-estraente configurato per decomprimere il suo contenuto nella cartella '%TEMP%\04505187' e lanciare una specifica routine di configurazione".

I dati spazzatura

"Tutti i file scaricati - si legge ancora - hanno estensioni non correlate al loro contenuto allo scopo di sviare l'analisi e la maggior parte di questi contengono dati 'spazzatura'", tranne i file 'xfi.exe' (interprete in grado di eseguire un programma col linguaggio di scripting AutoIt); 'hbx=lbl:' (primo script AutoIt offuscato) e 'uaf.icm:' (file in formato INI contenente tutti i parametri di configurazione del malware tra cui la cartella di installazione, il nome dell’interprete e altri parametri utilizzati negli stadi successivi dell’infezione)".