Fruity, il trojan downloader modulare che colpisce Windows

Il fornitore di sicurezza informatica Doctor Web avrebbe rilevato siti Web falsi che inducono gli utenti ignari a scaricare un downloader chiamato Fruity nascosto in software popolari con l’obiettivo di installare trojan ad accesso remoto come il famigerato Remcos RAT.

Tra i software in questione ci sono vari strumenti per la messa a punto di CPU, schede grafiche e BIOS; strumenti di monitoraggio dell’hardware del PC; e alcune altre app“, si legge nel rapporto di Doctor Web, “Tali programmi di installazione sono usati come esca e contengono non solo il software a cui le potenziali vittime sono interessate, ma anche il trojan stesso con tutti i suoi componenti.”.

La catena d’infezione multisadio

Agli incauti visitatori dei falsi siti verrebbe richiesto di scaricare un pacchetto di installazione .ZIP dalla pagina Web del servizio di file hosting MEGA. Non sarebbe ancora chiaro l’esatto vettore iniziale utilizzato in questa campagna (probabile phishing, drive-by download e malvertising). 

Falso sito (Fonte Doctor Web)
Pagina per il download dell’archivio ZIP (Fonte Doctor Web)

L’installatore, oltre ad avviare un processo di installazione standard del programma innocuo desiderato, rilascierebbe anche il trojan Fruity (python39.dll), un malware basato su Python per decomprimere un file MP3 (“Idea.mp3“) e caricare un file immagine (“Fruit.png“) secondo una catena d’infezione multi stadio.

Catena d’infezione multistadio (Fonte Doctor Web)

Tramite il metodo della steganografia, il file immagine .png nasconderebbe al suo interno delle librerie .dll e lo shellcode per l’inizializzazione dello stadio successivo, per aggirare il rilevamento antivirus sull’host compromesso e infine lanciare il payload Remcos RAT utilizzando una tecnica nota come process doppelgänging.

Imperativo scaricare software solo da fonti affidabili

Gli specialisti raccomandano agli utenti “di scaricare il software solo da fonti affidabili come i siti Web ufficiali degli sviluppatori e cataloghi di software specializzati”.

E’ bene precisare che questa sequenza di attacco potrebbe essere sfruttata per distribuire anche altri diversi tipi di malware, pertanto è imperativo tenere presente le raccomandazioni impartite anche alla luce del fatto che al momento il Trojan Fruity (Python39.dll) avrebbe un basso tasso di rilevamento tra i security vendors (27/70).

Altri IoC sono disponibili su GITHUB.

https://www.virustotal.com/gui/file/e9262441ef8e401acce28d13100c63e90e3de2ffb0ec6763611eebdc1aa60dbd

Su Salvatore Lombardo 192 Articoli
Ingegnere elettronico e socio Clusit, da qualche tempo, sposando il principio dell’educazione consapevole, scrive online per diversi magazine sull’Information Security. È inoltre autore del libro “La Gestione della Cyber Security nella Pubblica Amministrazione”. “Education improves Awareness” è il suo motto.