AVKiller + HeartCrypt: la combo che apre la porta ai ransomware
Sul mercato dei criminali informatici è apparso uno strumento che è rapidamente diventato un’arma di produzione di massa per decine di gruppi. Si tratta di HeartCrypt, un servizio di packaging di malware che si maschera da applicazione legittima.
I ricercatori di Sophos ne hanno monitorato l’attività e hanno scoperto che gli aggressori utilizzano questo meccanismo per distribuire stealer, trojan RAT e persino utility di disattivazione delle soluzioni di sicurezza, il tutto utilizzando le stesse tecniche di ingegneria sociale e sostituzione del codice.
Gli esperti hanno raccolto migliaia di campioni e scoperto quasi un migliaio di server di comando e controllo, oltre duecento falsi fornitori e campagne in diversi continenti. In base alla natura delle loro azioni, i ricercatori hanno collegato la maggior parte degli incidenti a questa operazione. In superficie, tutto assomiglia a un incidente familiare – email contraffatte, archivi di password, storage su Google Drive e Dropbox – ma dietro le sembianze di applicazioni ordinarie si nasconde un complesso meccanismo per l’impianto e l’esecuzione di moduli dannosi.
La tecnica è semplice ed efficace. Il codice indipendente dalla posizione viene iniettato in file EXE e DLL legittimi, ed eseguito direttamente dalla sezione .text; i file con un’intestazione BMP vengono aggiunti alle risorse, seguiti da un payload crittografato. La crittografia viene implementata tramite XOR con una chiave ASCII fissa, spesso ripetuta nella “coda” della risorsa.
Il codice primario implementa il secondo livello, bypassando gli analizzatori con un elevato numero di salti e byte inutili, verifica l’ambiente per importazioni fittizie e funzioni tipiche degli emulatori e, in condizioni normali, ripristina ed esegue il payload utilizzando le API standard: CreateProcessW, VirtualAlloc, GetThreadContext, NtCreateThreadEx e CreateRemoteThread. Per maggiore robustezza, il file viene copiato in una posizione “silenziosa” sul disco, gonfiato con zeri fino a centinaia di megabyte e aggiunto all’avvio.
Le campagne dimostrano le tipiche tecniche di ingegneria sociale. In Italia, email di violazione del copyright sono state inviate a Dropbox tramite l’abbreviatore t.ly; gli archivi contenevano un lettore PDF e una DLL contraffatta, dando origine a una variante di Lumma Stealer con un attacco C2 sui domini .sbs e .cyou. In Colombia, file ZIP dannosi su Google Drive erano protetti da password e il codice specificato “7771” è stato utilizzato per decomprimerli, dopodiché è stato installato AsyncRAT; in altri casi, “PDF” si è rivelato essere un’ancora LNK, ha avviato PowerShell e installato Rhadamanthys. I nomi dei file sono deliberatamente localizzati, dalle notifiche in spagnolo ai tag in francese e coreano, per aumentare le possibilità che il destinatario li apra.
Di particolare preoccupazione è la presenza di uno strumento di sicurezza chiamato AVKiller tra i payload. È stato rilevato insieme ad operazioni ransomware : in un caso, un modulo dannoso contenente HeartCrypt ha scaricato AVKiller, protetto da VMProtect e dotato di un driver con una firma compromessa; in un altro caso, sono stati osservati segni di cooperazione tra diversi gruppi, rendendo la situazione ancora più pericolosa per chi si trovava nelle vicinanze delle vittime. La portata e la diversità dei payload indicano che HeartCrypt non è isolato nell’ecosistema, ma la sua disponibilità e facilità di configurazione lo rendono uno strumento affidabile per gli aggressori.
I risultati principali sono semplici: il packer maschera il codice dannoso come programmi familiari, utilizza una crittografia semplice ma potente , sfrutta la fiducia nell’archiviazione cloud e negli accorciatori di URL, e i payload finali spaziano da stealer standard a utility di disabilitazione della sicurezza, aumentando significativamente il rischio di una successiva campagna di crittografia. I sistemi di sicurezza possono solo monitorare gli indicatori di compromissione delle risorse e i siti di iniezione, monitorare risorse APK/PE insolite e bloccare transizioni sospette ai collegamenti cloud.
L'articolo AVKiller + HeartCrypt: la combo che apre la porta ai ransomware proviene da Red Hot Cyber.
