Qarallax RAT, minaccia quasi irrilevabile dilaga via spam

Salve a tutti, scrive Matteo Lodi, membro dell'Incident Response Team.

Oggi vorrei parlare di una nuova minaccia che abbiamo rilevato casualmente durante l'analisi degli allarmi generati dalla nostra piattaforma.

Tutto cominicia dall'analisi di una piccola e solitaria firma ET di livello 2 chiamata "ET PRO POLICY DNS Query to .onion proxy Domain (onion . casa)".


All'inizio, l'unica evidenza che avevamo dall'analisi del traffico erano diverse richieste DNS seguite da 4 contatti via HTTPS al seguente strano dominio: vvrhhhnaijyj6s2m[.]onion[.]casa

Abbiamo scoperto che onion.casa è un proxy usato allo scopo di accedere ai servizi nascosti all'interno della famosa rete TOR. Nel dettaglio, proseguendo nell'analisi, abbiamo trovato che il dominio citato ospita un sito che dichiara di vendere un malware noto come Qarallax.


Qarallax è un RAT (remote access tool) e infostealer. Questo malware è nato da un clone del noto software open-source chiamato LaZagne. Tuttora, l'artefatto fornisce ad un eventuale attaccante la possibilità di effettuare diverse azioni sulla macchina infetta, tra cui:

  • Catturare movimenti del mouse e click
  • Catturare l'input della tastiera
  • Controllare la webcam e registrare lo schermo
  • Ottenere tutte le credenziali presenti sul browser, nei messaggi di chat, negli eventuali database configurati sull'host e nei programmi di Email

Un gruppo chiamato Quaverse dichiara di essere il reparto R&D che ha sviluppato questa minaccia e che, costantemente, lavora allo scopo di evolvere e aggiornare il malware. Il loro obiettivo è di vendere l'agente come un RaaS (RAT as a Service).

Questo file è un'applicazione scritta in JAVA capace di eseguire sui sistemi operativi che hanno installato il JAVA Runtime Environment (JRE). Agisce silenziosamente in sottofondo, senza lasciare alcuna indicazione della sua presenza all'utente.

A questo punto dell'analisi, non avevamo la prova certa che l'host che contattava il dominio sospetto fosse infetto; tuttavia eravamo fortemente motivati a investigare ulteriormente allo scopo di capire se si trattasse di una minaccia reale.

Siamo andati alla ricerca di qualche fonte di intelligence sul web, con la speranza che qualcuno avesse trovato informazioni utili sul dominio citato. Inizialmente, abbiamo controllato su Google, Twitter e Reverse ma non abbiamo trovato niente. Poi, tramite VirusTotal, abbiamo trovato che il seguente URL era catalogato come malevolo: hxxps://vvrhhhnaijyj6s2m.onion[.]casa/storage/cryptOutput/0.92915600%201512026521.jar

Wow, solo 3 rilevazioni e nessun sample caricato su VT. Comunque, in quel momento, abbiamo avuto un'idea su cosa avessero fatto le connessioni SSL: scaricare un .jar contenente, con alta probabilità, il malware.

Nel frattempo, abbiamo contattato il cliente e, fortunatamente, l'host infetto era una macchina virtuale che è quindi stata ripristinata ad uno stato pulito senza problemi. Inoltre l'agente antivirus aveva rilevato e fermato l'esecuzione del malware.

A questo punto, le vere domande da porsi erano:

  • come si erano infettati?
  • l'attacco era opportunistico o mirato?

Il giorno successivo, all'interno della nostra spamtrap, abbiamo rilevato un artefatto chiamato "IMG6587JPG..jar", identificato come malevolo (8.2/10 score) dalla nostra sandbox. Il primo elemento dove abbiamo concentrato la nostra attenzione è stato il traffico che questa applicazione aveva generato verso il dominio sospetto.

Et voila! Probabilmente avevamo trovato il malware scaricato dal nostro cliente e, fortunatamente, era arrivato da una classica email di spam che ingannava l'utente allo scopo di fargli aprire una finta immagine che, in realtà, conteneva l'infostealer.

Fatto interessante è stato che solo 4 antivirus lo avessero rilevato. Dopo solo 4 ore, qualche altro prodotto antimalware aveva iniziato ad identificare il software come malevolo (15).

Abbiamo comunicato le informazioni al nostro cliente che è riuscito ad identificare la mail che ha portato all'infezione e ha provveduto ad inviarcela. La variante di Qarallax era pressochè identica a quella che avevamo rilevato pochi minuti prima. L'unico elemento di differenza era il corpo della mail (diverso nella lingua, da inglese a italiano) e il nome del campione: PAGAMENTO.jar. Anche in questa occasione, la prima volta che abbiamo inviato il file a VT, solo pochi antivirus erano stati capaci di identificarlo.

Aggiornamento

Abbiamo rilevato nuove varianti del malware che, tuttavia, mantiene le stesse potenzialità. La differenza più rilevante è il proxy sfruttato allo scopo di contattare il server di comando e controllo: da onion.casa a onion.top. Ci teniamo a sottolineare come la minaccia stia evolvendo giorno per giorno: ogni nuovo campione che analizziamo risulta praticamente irrilevato da ogni genere di antivirus.

Conclusioni

Abbiamo identificato una nuova campagna di spam che diffonde un RAT con la capacità di evadere il rilevamento della maggior parte dei software AV o delle firme IDS.

IOC

Domini:

vvrhhhnaijyj6s2m[.]onion[.]casa
vvrhhhnaijyj6s2m[.]onion[.]top

RAT samples (MD5):

6d921290e0cacf6663890aa3dcb94845
f441dc0388afd3c4bca8a2110e1fa610
682f0260cd0bb8716d32485eebfe1d31
cb9da672613decdc800849a45f21c0b8
d77cfa2b68c744f3ba62f2e49a598ffa
d9adbb40a0ae557c5bf1d2dd2f85409d
42ecb562506ec1734cc291c0092753c5
702f6c5856591accb8cdd4bcfc46e114