DirtyMoe Malware

L'aumento fulmineo della popolarità, stimolato dai guadagni di valore ancora più impressionanti realizzati da diverse criptovalute, ha messo sotto i riflettori il settore precedentemente di nicchia. Anche gli attori delle minacce hanno notato la tendenza e hanno rapidamente spostato le loro operazioni verso l'abuso. Numerose botnet e strumenti malware sono stati creati o dotati di funzionalità di cripto-mining. Gli attori delle minacce possono quindi dirottare le risorse di migliaia di sistemi compromessi e usarli per estrarre monete di una criptovaluta specifica. Uno degli strumenti malware più recenti e sofisticati di questo tipo è il malware DirtyMoe. Finora la minaccia è stata sfruttata contro obiettivi in Russia, ma sono state rilevate vittime anche nei paesi europei e asiatici. Secondo i ricercatori di infosec, attualmente sono attive quasi centomila macchine infette da DirtyMoe.

Le versioni iniziali di DirtyMoe sono state monitorate dai ricercatori di infosec con il nome di NuggetPhantom ed erano spesso instabili e facilmente rilevabili dai prodotti di sicurezza informatica. Da allora, tuttavia, il malware ha subito un'evoluzione significativa ed è ora una minaccia sfuggente e modulare che mostra molteplici tecniche di anti-rilevamento e anti-analisi.

La catena di attacchi di DirtyMoe inizia con gli hacker che cercano vittime vulnerabili a diversi exploit. Uno di questi è la famigerata vulnerabilità EternalBlue (CVE-2017-0144) emersa nel 2017 ma, a quanto pare, sono rimasti abbastanza sistemi non protetti da far sì che gli attori delle minacce trovino utile continuare ad abusarne nelle loro operazioni dannose. Un altro degli exploit preferiti da DirtyMoe è la vulnerabilità legata al danneggiamento della memoria del motore di scripting (CVE-2020-0674) presente in Internet Explorer. Le vittime vengono attirate tramite e-mail di phishing contenenti URL non sicuri.

Struttura modulare

La caratteristica principale del malware DirtyMoe è la sua modularità. Il componente principale è DirtyMoe Core. È responsabile del download, dell'aggiornamento, della crittografia, della creazione di backup e della protezione dalla minaccia DirtyMoe. Il Core ha anche il compito di fornire un codice corrotto al DirtyMoe Executioner, che poi, come suggerisce il nome, lo eseguirà. Il codice iniettato è denominato MOE Object o Module e viene recuperato dal server Command-and-Control dell'operazione.

Il comportamento specifico della minaccia malware può essere ulteriormente regolato per adattarsi agli obiettivi degli attori della minaccia. I criminali informatici possono comandare a DirtyMoe di scaricare un payload crittografato contenente la funzionalità desiderata e quindi iniettarlo in se stesso. In un paio d'ore, migliaia di istanze di DirtyMoe possono essere modificate in questo modo. In effetti, DirtyMoe può essere utilizzato per lanciare attacchi DDoS, eseguire attività di mining di criptovalute o fornire payload minacciosi aggiuntivi, come raccoglitori di dati, ransomware, trojan e altro.

Potenti capacità di nascondersi e autodifesa

DirtyMoe utilizza VMProtect per salvaguardare il suo principale nucleo minaccioso. Utilizza anche un driver Windows che mostra diverse funzionalità che si trovano solitamente nei rootkit come servizio, voce di registro e occultamento del driver. Il driver può inoltre ricevere istruzioni per nascondere file specifici sul volume di sistema della macchina infetta o iniettare DLL arbitrarie in qualsiasi processo appena creato. La comunicazione di rete si ottiene anche attraverso una potente tecnica. La minaccia trasporta una serie di server DNS hardcoded che utilizza per effettuare una richiesta DNS a un dominio hardcoded. Tuttavia, per l'indirizzo IP e la porta finali, DirtyMoe utilizza una sequenza diversa di richieste DNS. Di conseguenza, DirtyMoe diventa resistente al blocco del suo IP finale. Inoltre, è praticamente irrealistico bloccare le richieste DNS ai server DNS come Google, Cloudflare e servizi simili.