Il Keylogger Fauxpersky apparso sotto le sembianze dell’Antivirus Kaspersky si diffonde tramite unità USB.

I ricercatori per la sicurezza della Cybereason hanno di recente scoperto un malware, ottenuto dal furto delle credenziali e denominato Fauxpersky, che ha le sembianze dell’Antivirus Kaspersky e si diffonde tramite le unità USB infette.

Il malwareFauxpersky è stato scritto in AutoIT o in AutoHotKey, che corrisponde, rispettivamente, a un linguaggio di scripting in stile BASIC gratuito, progettato per automatizzare l’interfaccia grafico (Graphic User Interface) di Windows e lo scripting generale, e  a un programma di tastiera macro gratuito per inviare sequenze di tasti ad altre applicazioni.

L’analisi dei sistemi infetti ha rivelato l’esistenza di quattro file rilasciati, gli hackeri li hanno denominati con le appellazioni dei file di sistema Windows: Explorers.exe, Spoolsvc.exe, Svhost.exe e Taskhosts.exe.

Dopo l’esecuzione iniziale, il keylogger Fauxpersky raggruppa le unità elencate sulla macchina e inizia a replicarsi su di esse.

L’analisi cita quanto segue: “Questo keylogger AHK utilizza un metodo abbastanza semplice di auto propagazione per la diffusione. Dopo l’esecuzione iniziale, il keylogger raccoglie le unità elencate sulla macchina e inizia a replicarsi su di esse. Procediamo a una ricognizione del processo.”

Ciò consente al keylogger di diffondersi da una macchina host a qualsiasi unità esterna connessa. Se il keylogger si sta propagando su un’unità esterna, rinominerà l’unità in modo tale che corrisponda al suo schema di denominazione.

Il malware rinomina le unità esterne in modo che corrispondano al suo schema di denominazione, il nuovo nome è composto dalla seguente convenzione:

               nome originale: dimensione: “Protetto da Kaspersky Internet Security 2017”

Crea inoltre un file autorun.inf per puntare a uno script batch.

Uno dei file dropper, Explorers.exe, include una funzione denominata CheckRPath () il cui scopo è quello di creare i file, se non sono già presenti nell’unità.

Il keylogger ha creato i file con gli attributi System e Hidden e crea anche le directory necessarie, con i parametri di Read-Only, System e Hidden.

L’analisi prosegue con queste risultanze: “All’avvio del processo di creazione dei file del componente (HideRFiles ()) si inizia,avviando un ciclo. Questo ciclo consente al keylogger di scorrere i vari file di output di cui ha bisogno per scrivere su disco in modo strutturato.  “Possiamo vedere che il collegamento (un file a.1nk shourtcut ), il testo e i file batch verranno creati per l’avvio di ogni disco. Quindi il valore, passato alla funzione, viene incrementato in modo che la directory creata possa essere spostata come un unico insieme, una volta che i file sono stati posizionati nell’area.

I file vengono archiviati nella directory di origine denominata Kaspersky Internet Security 2017 quando vengono copiati nella nuova destinazione. La cartella includeva un’immagine Kaspersky denominata Logo.png come pure un file di testo contenente istruzioni per gli utenti  per disabilitare il proprio antivirus, in caso di mancata esecuzione. Le istruzioni includevano anche un elenco di strumenti di sicurezza “incompatibili con Kaspersky Internet Security 2017” (incluso Kaspersky Internet Security).

Fauxpersky monitora la finestra attualmente attiva,  utilizzando le funzioni AHK WinGetActiveTitle () e  input (). Ogni sequenza di tasti viene quindi aggiunta al file Log.txt che verrà salvato in% APPDATA% \ Kaspersky Internet Security 2017.

Il malware gestisce la persistenza, modificando la directory di lavoro del malware in% APPDATA% e creando la directory denominata Kaspersky Internet Security 2017. Controlla se tutti i file necessari sono già stati creati in% APPDATA%. Nel caso i file non siano stati creati, il malware li copierà in quella posizione.

Il file Spoolsvc.exe viene utilizzato per modificare i valori delle chiavi del Registro di sistema per impedire al sistema dal visualizzare i Files Hidden e dal nascondere i file di sistema, quindi verifica se explorers.exe è in esecuzione e in caso contrario, provvede ad eseguirlo.

Fauxpersky ruba i dati salvati dalla chiave utilizzando Google Forms.

Concluse Cybereason: “L’estrazione dei dati da Google Forms è un modo molto semplice e intelligente per superare molta della” logistica” che viene coinvolta nell’estrapolazione dei dati. L’utilizzo di questa tecnica significa che non è necessario mantenere un comando anonimo  e  un server di controllo. Inoltre le trasmissioni di dati a docs.google.com sono crittografate e non sembrano sospette nel corso dei vari programmi di monitoraggio del traffico. .”