Snip3 Loader

I ricercatori di Morphisec hanno scoperto una nuova minaccia malware minacciosa e altamente sofisticata che hanno chiamato cryptor "Snip3". La minaccia è offerta in uno schema Cryptor-as-a-Service e viene utilizzata in campagne di attacco in corso che forniscono numerosi ceppi RAT (Remote Access Trojan) come payload finali sulle macchine compromesse. Le funzionalità più potenti del caricatore Snip3 sono le sue capacità di prevenzione del rilevamento e anti-analisi basate su diverse tecniche avanzate, come l'esecuzione di codice PowerShell con il parametro 'remotesigned', utilizzando Pastebin e top4top per la gestione temporanea, compilazione di caricatori runPE in runtime e verifica della virtualizzazione di Windows Sandbox e VMWare.

La catena di attacco è composta da più fasi con la diffusione del vettore di attacco iniziale tramite e-mail di phishing. I messaggi di richiamo tentano di indurre l'utente mirato a scaricare un file Visual Basic danneggiato. In alcuni casi, gli autori delle minacce hanno invece utilizzato un file di installazione di grandi dimensioni per nascondere la consegna del loro strumento malware.

La fase iniziale dell'attacco Snip3

La prima fase prevede la distribuzione di uno script VB responsabile della preparazione e dell'inizializzazione della fase successiva dell'attacco malware: uno script PowerShell di seconda fase. I ricercatori di Infosec sono riusciti a identificare quattro versioni principali dello script VB insieme a 11 sotto-versioni. Ciò che differenzia le 4 versioni è il metodo esatto utilizzato per caricare la prossima versione di PowerShell, mentre le versioni secondarie utilizzano diversi tipi di offuscamento. Va notato che in questa fase iniziale, l'attore della minaccia ha implementato una tecnica piuttosto unica osservata in alcune delle versioni: lo script esegue PowerShell con un parametro "-RemoteSigned" come comando.

Seconda fase dell'operazione Snip3

La seconda fase ruota principalmente intorno alla verifica che il malware non venga eseguito in un ambiente virtuale. Se tutto sembra essere conforme alle aspettative, lo script di PowerShell passerà quindi a caricare RUnPE per eseguire il payload RAT selezionato in un processo Windows vuoto in modo riflessivo.

Snipe3 è dotato di misure anti-VM extra rispetto al solito codice visto in natura non in grado di rilevare Microsoft Sandbox. Per verificare la presenza di potenziali macchine virtuali come VMWare, VirtualBox o Windows Sandbox, lo script di PowerShell estrae la stringa del produttore e la confronta con un elenco di stringhe codificate. Per rilevare gli ambienti Sandboxie, il malware tenta di risolvere un handle in una DLL denominata SbieDll.dll. Se viene rilevata una VM, il malware termina le sue operazioni senza fornire il payload RAT.

La distribuzione di una minaccia RAT

L'ultima fase delle operazioni di Snip3 vede la minaccia fornire un malware RAT selezionato al sistema infetto. Il meccanismo di consegna è diverso da quanto si osserva comunemente in altre campagne minacciose. Snip3 raddoppia la sua furtività portando un codice sorgente incorporato e compresso (GZIP) che viene compilato in runtime. Questo codice sorgente sembra essere una versione modificata di runPE da un repository GitHub denominato NYAN-x-CAT.

Finora, è stato osservato che diverse minacce RAT sono state eliminate come carico utile finale da Snip3. Il più delle volte le minacce distribuiti sono ASyncRAT o RevengeRAT . Tuttavia, ci sono stati casi in cui le varianti Snip3 hanno fornito AgentTesla o NetWire RAT .

Le organizzazioni dovrebbero tenere in considerazione l'IoC (Indicators-of-Compromise) divulgato e tenere conto delle capacità di Snip3 che gli consentono di aggirare facilmente le soluzioni incentrate sul rilevamento.