BendyBear

Una nuova minaccia malware altamente sofisticata è stata rilevata dai ricercatori di Palo Alto Networks. La minaccia è stata denominata BendyBear in quanto vi sono forti collegamenti tra essa e WaterBear, che è un malware modulare utilizzato in una campagna di attacco in corso almeno dal 2009. Sebbene WaterBear sia stato classificato come un impianto con un'ampia gamma di funzionalità minacciose come la manipolazione e l'esfiltrazione dei file, l'accesso alla shell, l'acquisizione di screenshot e altro ancora, non è nemmeno vicino alle capacità di BendyBear.

 I ricercatori di infosec che hanno analizzato BendyBear lo descrivono come il malware cinese più sofisticato che sia stato creato finora. Attribuiscono inoltre il rilascio della minaccia malware al gruppo di spionaggio informatico BlackTech che ha condotto campagne di attacco contro entità tecnologiche e agenzie governative nell'Asia orientale.

 Quando viene distribuito sul computer del bersaglio, BendyBear funge da impianto di stadio zero incaricato di fornire un carico utile più robusto e di fase successiva. In quanto tale, l'obiettivo degli aggressori è mantenere la minaccia il più nascosta possibile. Può sembrare controintuitivo quindi che con oltre 10.000 byte di codice macchina BendyBear sia notevolmente più grande di altre minacce dello stesso tipo. Le dimensioni maggiori, tuttavia, hanno consentito agli hacker di dotare il loro strumento malware di una miriade di complesse tecniche di prevenzione del rilevamento e antianalisi.

 Sofisticate funzionalità furtive e di rilevamento-evasione

 La minaccia possiede una struttura altamente malleabile. Esegue controlli per rilevare eventuali segni di strumenti anti-debug e tenta di evitare il rilevamento statico tramite codice indipendente dalla posizione. Ogni sessione di comunicazione con l'infrastruttura Command-and-Control (C2, C&C) della campagna è accompagnata dalla generazione di una chiave di sessione univoca. Per nascondere il traffico anomalo che crea, BendyBear tenta di integrarsi con il normale traffico di rete SSL utilizzando una porta comune (443).

 Per la crittografia, BendyBear utilizza un codice RC4 modificato. Altri aspetti unici della minaccia sono il codice polimorfico che gli consente di modificare la sua impronta di runtime durante l'esecuzione del codice e la capacità di eseguire la verifica del blocco della firma. Per memorizzare i dati di configurazione, BendyBear sfrutta una chiave di registro già esistente che è abilitata per impostazione predefinita nei sistemi Windows 10. Per ridurre ulteriormente le tracce che lascia, la minaccia carica i payload della fase successiva nella memoria del sistema compromesso direttamente senza rilasciarli sul disco.

 BendyBear è eccezionalmente difficile da rilevare e le organizzazioni devono rimanere vigili per cogliere l'attacco nelle sue fasi iniziali.