Grinju Downloader

Il Grinju Downloader, come suggerisce il nome, è un tipo di malware downloader. Ciò significa che il suo ruolo nella catena di attacco è quello di agire come un contagocce di primo stadio responsabile della consegna del carico utile effettivo dopo che il computer di destinazione è già stato compromesso. Questo particolare contagocce mostra alcune caratteristiche uniche quando si tratta di misure anti-analisi e anti-rilevamento.

Fondamentalmente, il Grinju Downloader è un malware basato su macro fornito tramite file Excel avvelenati. A differenza di altre minacce simili, tuttavia, non esiste un codice VBA che possa essere analizzato poiché tutto il codice è contenuto nel foglio di calcolo stesso distribuito su migliaia di righe e numerose celle. Per far funzionare questo metodo, gli hacker hanno sfruttato una vecchia funzionalità di Excel: la creazione di un foglio "macro" in cui le funzioni macro potevano essere aggiunte direttamente alle celle. Infatti, quando l'utente apre quel file danneggiato, ci saranno due fogli presenti al suo interno. Il primo, che viene presentato all'utente, si chiama " Foglio1 " e contiene vari dati che verranno utilizzati dalle funzioni macro per eseguire l'agenda minacciosa della minaccia. Il secondo foglio è quello "macro" e contiene tutte le funzioni macro che devono essere eseguite in ordine. Si chiama "ij3Lv".

In Grinju Downloader sono presenti tecniche uniche di furtività e anti-analisi

L'apertura del secondo foglio presenterà inizialmente una schermata di cella vuota, anche se è stata completamente rimpicciolita. Per scoprire dove iniziano le funzioni, gli utenti dovranno scorrere fino a R3887C240 - riga 3887, colonna 40. Tra le varie funzioni, una parte considerevole è dedicata ad ostacolare i tentativi di analisi dei ricercatori di infosec. Il Grinju Downloader è in grado di controllare se è presente un mouse, determinare se la larghezza e l'altezza della finestra di lavoro superano dimensioni specifiche, se il sistema è in grado di riprodurre suoni e controllare se la macro viene eseguita in modalità a passo singolo. Tutti questi indicatori potrebbero essere potenziali segnali che Grinju viene eseguito in un ambiente sandbox.

In un punto specifico durante il suo funzionamento, Grinju entra in un ciclo basato su un'istruzione "If". Durante ogni ciclo, i valori vengono incrementati di uno e se la condizione ritorna "Vero", Grinju procede a formare il gruppo di istruzioni successivo.

Una tecnica particolarmente sinistra eseguita da Grinju Downloader è la minaccia che disabilita l'avviso "Abilita contenuto". La prima fase per ottenere questo risultato è la creazione di un file di testo con un solo carattere al suo interno - "1", che viene rilasciato nella cartella Temp. Il significato di questo valore diventa evidente quando si osserva la funzione successiva. Apre il registro, naviga nell'hive degli avvisi di sicurezza di Excel e vi scrive il valore preso dal file di testo. Ciò significa che d'ora in poi tutte le macro verranno eseguite automaticamente, senza che l'utente visualizzi alcun segno di avvertimento.

Grinju Downloader esegue un controllo dell'ambiente in cui è in esecuzione e, se rileva qualcosa di diverso da Windows, termina semplicemente la sua esecuzione. Determina inoltre se il sistema Windows ha un'architettura a 32 bit o a 64 bit, con il risultato di recuperare codici diversi dal foglio Excel della macro. Il passaggio finale nella programmazione del malware consiste nel rilasciare uno script nel percorso " Local \ Temp \ Nvf.vbs " responsabile del download e dell'esecuzione del payload del malware di seconda fase, che viene fornito come file denominato " ZsQrgSU.html . '

Gli hacker dietro il Grinju Downloader dimostrano che anche tecniche un po 'vecchie potrebbero produrre risultati sorprendentemente efficienti.