CSPY Downloader

CSPY Downloader è un nuovo malware downloader personalizzato che è stato osservato per essere distribuito come parte dell'arsenale del gruppo di hacker nordcoreano Kimsuky. CSPY Downloader svolge il ruolo di contagocce di malware di prima fase che fornisce il payload di malware di seconda fase. CSPY Downloader esegue anche una vasta gamma di tecniche anti-analisi e anti-sandbox progettate per ostacolare qualsiasi tentativo di analizzare i campioni minacciosi.

CSPY Downloader viene propagato tramite e-mail di phishing che contengono documenti Word avvelenati. Il documento specifico è progettato per attirare l'attenzione dell'utente mirato affermando che contiene un'intervista con un disertore nordcoreano che discute delle lotte della vita nel paese. Una volta eseguito, vengono attivate le macro minacciose iniettate nel documento. Rilasciano ed eseguono CSPY Downloader come file denominato "winload.exe" sul computer della vittima.

Il "file winload.exe" è compresso con UPX e la data di timestamp è spostata indietro al 30 luglio 2016. È firmato con un certificato scaduto attribuito a EGIS Co., Ltd, un'entità che è già stata collegata all'hacker di Kimsuky gruppo.

CSPY Downloader esegue estese tecniche di anti-analisi

Prima di procedere alla consegna dei payload del malware di seconda fase, CSPY Downloader si assicura che non venga eseguito in un ambiente di macchina virtuale. Il downloader esegue alcuni degli stessi controlli che gli script iniziali del documento di Word armato hanno già fatto, mostrando l'impegno degli hacker a mantenere segreti i loro strumenti malware. CSPY esegue una scansione per specifici moduli relativi alla virtualizzazione, percorsi di file specifici, chiavi di registro e memoria. Controlla anche il processo della struttura PEB. Se tutte le scansioni non trovano corrispondenze, CSPY Downloader passerà alla fase successiva della programmazione; in caso contrario, termina la sua esecuzione.

Tre file vengono rilasciati sulla macchina compromessa da CSPY: un file eseguibile principale e due potenziali moduli malware. Tutti e tre i payload vengono scaricati inizialmente nella cartella% temp%, ma vengono rinominati e spostati rapidamente in posizioni diverse. Quando si avvia il payload principale del malware, CSPY tenta di camuffarlo come un servizio Windows legittimo facendo la falsa affermazione che è necessario per supportare applicazioni compresse. Per eseguire il minaccioso binario con privilegi elevati, il downloader utilizza una tecnica che gli consente di aggirare il servizio di controllo dell'account utente di Windows (UAC) sfruttando l'attività SilentCleanup.

Quando CSPY Downloader ha terminato di eseguire le sue attività, si cancella semplicemente dalla macchina compromessa.