malicious-code

Una ricerca di Deepinstinct, ha analizzato una recente campagna di un malware che all’occorrenza rilascia ulteriori sue varietà dannose.

Il malware dropper include diversi tipi di codici malevoli che permettono una volta colpito il target, di:

  • rubare informazioni;
  • installare una backdoor;
  • rubare criptovalute;
  • occasionalmente, istallare crypto-miner .

I ricercatori hanno denominato il malware come “Legion Loader”, specificando che è scritto in MS Visual C++ 8 da uno sviluppatore Russo.

Di seguito lo schema di Legion Loader:

legion

Inoltre il malware presenta una varietà di funzioni per eludere l’eventuale sua analisi in VM / Sandbox (VMware, VBOX, etc.) , però in molti casi, manca l’offuscamento delle stringhe che permette un’analisi abbastanza semplice.

tools

Una volta che Legion Loader è in esecuzione, inizialmente effettua il check-in con il server C&C designato (i server vengono ruotati frequentemente, insieme ai dropper) e termina se non riceve una risposta.

Una volta che ha stabilito la connessione con il server di comando e controllo, procederà al download e all’esecuzione di 2-3 payload. Successivamente eseguirà un comando di PowerShell che fornirà un malware per rubare criptovalute e un raccoglitore di credenziali del browser.

cmd

Per l’analisi più approfondita, ti rimando al link utilizzato come fonte per quest’articolo.

FONTE: Deepinstinct.

Puoi seguirci anche sui nostri canali social:

Inoltre è attiva la Newsletter settimanale, con cui potrai ricevere gratuitamente ogni domenica una selezione di tutti gli articoli e guide pubblicate sul sito.

Articoli correlati:

condividi