Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca
LECS 970x120 1
320x100 Itcentric
Emergenza Sicurezza in Italia: Crescono gli Attacchi Adwind/jRAT, avverte il CERT-AGID

Emergenza Sicurezza in Italia: Crescono gli Attacchi Adwind/jRAT, avverte il CERT-AGID

Redazione RHC : 12 Giugno 2024 08:14

Da oltre una settimana il CERT-AGID sta osservando l’attività di una serie di campagne mirate contro l’Italia e finalizzate alla diffusione del malware Adwind/jRAT.

Solitamente, le email includono un archivio ZIP con file HTML denominati FATTURA.html o DOCUMENTO.html. In alcuni casi viene utilizzata anche una doppia estensione file come .pdf.html.

Il file HTML contiene un codice JavaScript che verifica la lingua impostata sul browser in cui viene aperto. Se la lingua del browser è impostata su italiano, viene mostrato il contenuto della pagina malevola, altrimenti viene visualizzata una pagina vuota.


Rhc Conference Sponsor Program 2

Sponsorizza la prossima Red Hot Cyber Conference!

Il giorno Lunedì 18 maggio e martedì 19 maggio 2026 9 maggio 2026, presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terrà la V edizione della la RHC Conference
Si tratta dell’appuntamento annuale gratuito, creato dalla community di RHC, per far accrescere l’interesse verso le tecnologie digitali, l’innovazione digitale e la consapevolezza del rischio informatico. 
Se sei interessato a sponsorizzare l'evento e a rendere la tua azienda protagonista del più grande evento della Cybersecurity Italiana, non perdere questa opportunità. E ricorda che assieme alla sponsorizzazione della conferenza, incluso nel prezzo, avrai un pacchetto di Branding sul sito di Red Hot Cyber composto da Banner più un numero di articoli che saranno ospitati all'interno del nostro portale. 
Quindi cosa stai aspettando? Scrivici subito a [email protected] per maggiori informazioni e per accedere al programma sponsor e al media Kit di Red Hot Cyber.


Supporta Red Hot Cyber attraverso: 

  1. L'acquisto del fumetto sul Cybersecurity Awareness
  2. Ascoltando i nostri Podcast
  3. Seguendo RHC su WhatsApp
  4. Seguendo RHC su Telegram
  5. Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber

Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Lo script visualizza un’immagine codificata in base64 all’interno del codice HTML. Il falso messaggio avverte che si sta utilizzando una versione obsoleta di Adobe Acrobat Reader e invita a cliccare su ‘OK’ per visualizzare correttamente il documento. Se la vittima clicca su ‘OK’, viene rilasciato un file denominato FATTURA.jar, anch’esso codificato in base64 all’interno della pagina HTML. In alcuni casi il file JAR viene scaricato da remoto.

Il file JAR non è valutato come completamente malevolo da VirusTotal e dalle sandbox online ed è quindi stato analizzato per determinarne la sua reale natura.

Analisi del file FATTURA.jar

Il file FATTURA.jar contiene una serie di stringhe cifrate con diversi algoritmi. Nello screenshot è evidente l’uso di Blowfish e DES, oltre alla funzione che verifica che la lingua del sistema in cui viene eseguito sia impostata su “Italiano”. Questo spiega anche il perché le sandbox online non lo rilevano come malware: sia il sistema che il browser delle sandbox sono configurati per impostazione predefinita in lingua inglese.

In generale, prima di procedere con la decifratura delle stringhe, devono essere soddisfatte due condizioni: la lingua del sistema deve essere impostata sull’italiano ed il file non deve essere eseguito in un ambiente virtuale.

Decifriamo le stringhe contenute

Bypassando le verifiche preliminari e richiamando direttamente le funzioni che decifrano le stringhe, costituite da una coppia di dati (la stringa e la chiave), è possibile ottenere le stringhe in chiaro. Di seguito il codice utilizzato su JDoodle:

import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.util.Base64;
import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.util.Arrays;

public class Decoder {
    private static String I(String encrypted, String key) {
        try {
            SecretKeySpec secretKey = new SecretKeySpec(MessageDigest.getInstance("MD5").digest(key.getBytes(StandardCharsets.UTF_8)), "Blowfish");
            Cipher cipher = Cipher.getInstance("Blowfish");
            cipher.init(Cipher.DECRYPT_MODE, secretKey);
            return new String(cipher.doFinal(Base64.getDecoder().decode(encrypted.getBytes(StandardCharsets.UTF_8))), StandardCharsets.UTF_8);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    private static String lI(String encrypted, String key) {
        try {
            SecretKeySpec secretKey = new SecretKeySpec(Arrays.copyOf(MessageDigest.getInstance("MD5").digest(key.getBytes(StandardCharsets.UTF_8)), 8), "DES");
            Cipher cipher = Cipher.getInstance("DES");
            cipher.init(Cipher.DECRYPT_MODE, secretKey);
            return new String(cipher.doFinal(Base64.getDecoder().decode(encrypted.getBytes(StandardCharsets.UTF_8))), StandardCharsets.UTF_8);
        } catch (Exception e) {
            e.printStackTrace();
            return null;
        }
    }

    private static String l(String encrypted, String key) {
        String decoded = new String(Base64.getDecoder().decode(encrypted.getBytes(StandardCharsets.UTF_8)), StandardCharsets.UTF_8);
        StringBuilder result = new StringBuilder();
        char[] keyChars = key.toCharArray();
        int keyIndex = 0;
        
        for (char c : decoded.toCharArray()) {
            result.append((char) (c ^ keyChars[keyIndex % keyChars.length]));
            keyIndex++;
        }
        return result.toString();
    }

    public static void main(String[] args) {
        System.out.println(I("c4cP17/Ozgm4UJ4L/OUakHUO85Hd8xxIoiS/LdTP+3+cCoxcASMrgYEKi12LcXT2n9qwDp9k67k=", "XdZXl"));
        System.out.println(l("IT0JCisQIgdNKsKCbxYCPRRvFQgrUSoeCDoEOwcJNlEqC00qGDwSCDQQPEYONhxvDwkwHiIHTTAFLgoEOB8gSA==", "qOfmY"));
        System.out.println(I("qI2Nxm2h7RW8T6rl0/IzKrjPGf85prFO8cVbYSE10v3tGpqqnjwp12uPy2ZIw5MM", "HKGxY"));
        System.out.println(I("4K7haJfBFUjNcdGEyU4wUElF8WNjZBgkX5eFOgbJwX8=", "wiuwr"));
        System.out.println(lI("3OLsw4/8fBolWnKA82rdkFWfVh2M7WFMi2BiFcXKmKU=", "KyXRP"));
        System.out.println(l("OSc7JHN+LCw3cw==", "SFMES"));
        System.out.println(I("XhJKXq1hOAu09FXWTD+FpqdU0uQ6l1+tOY8Gi9Yj6Yg=", "cZGuC"));
        System.out.println(lI("VCwJQQXvuXRH1abDaCA3HwZkK00ujT5z", "qYlCP"));
        System.out.println(lI("AOThA7c08M/VArRAsjMTjw==", "MnJEM"));
        System.out.println(I("A2TWtQnOsHo=", "ruOpk"));
        System.out.println(lI("CCJPVcwtVwVcC9/nJPfs4Vq3aBFMTX17", "fjOyg"));
        System.out.println(I("MHAqSAt0tA0=", "Yujla"));
        System.out.println(I("HyLpIz3LmJR71AV4fjoMlHkuR2u9ruuBqkSmjmhs9kg=", "fLXov"));
        System.out.println(I("0HD7DEkuYgs=", "polhh"));
    }
}

L’output ottenuto è il seguente:

Il risultato ottenuto è di semplice comprensione: è evidente che viene scaricato un file (Imagem.jpg) da una risorsa remota e successivamente eseguito con il comando ‘java -jar‘, il che indica che il file jpg è in realtà un nuovo file JAR.

Analisi di Imagem.jar

Questo file, ad oggi, non risulta malevolo secondo VirusTotal. Procediamo quindi con l’analisi del codice utilizzando Bytecode Viewer.

Esattamente come nel caso del precedente file JAR, anche in questo caso vengono eseguiti gli stessi controlli prima di decifrare le stringhe mediante gli algoritmi standard. In particolare, notiamo che questo file scarica un altro file da una URL specifico (URLConnection) che corrisponde alla stringa llI[lll[2]].

Decifriamo quindi la URL

Procediamo come fatto precedentemente e utilizziamo ancora una volta il servizio JDoodle per ottenere rapidamente il risultato dal seguente codice:

import javax.crypto.Cipher;
import javax.crypto.spec.SecretKeySpec;
import java.nio.charset.StandardCharsets;
import java.security.MessageDigest;
import java.util.Base64;
import java.util.Arrays;

public class Decryptor {
    private static String lllII(String lllllIlIllIIlIl, String lllllIlIllIIlII) {
        try {
            SecretKeySpec lllllIlIllIlIlI = new SecretKeySpec(Arrays.copyOf(MessageDigest.getInstance("MD5").digest(lllllIlIllIIlII.getBytes(StandardCharsets.UTF_8)), 8), "DES");
            Cipher lllllIlIllIIIlI = Cipher.getInstance("DES");
            lllllIlIllIIIlI.init(Cipher.DECRYPT_MODE, lllllIlIllIlIlI);
            byte[] decryptedBytes = lllllIlIllIIIlI.doFinal(Base64.getDecoder().decode(lllllIlIllIIlIl.getBytes(StandardCharsets.UTF_8)));
            return new String(decryptedBytes, StandardCharsets.UTF_8);
        } catch (Exception var4) {
            var4.printStackTrace();
            return null;
        }
    }

    public static void main(String[] args) {
        String encryptedString = "NOLCvB8WVVJVCjn/M2XHbIA5HPX6pYFS4Sns11Ve2dpoyGIdYOIG4g==";
        String encryptionKey = "YCVrc";

        String decryptedString = lllII(encryptedString, encryptionKey);
        System.out.println("Decrypted String: " + decryptedString);
    }
}

L’output ottenuto è il seguente:

Anche questa volta ci troviamo di fronte a un nuovo file JAR camuffato da immagine (Imagem.png).

Ed ecco Adwind!

Siamo arrivati all’ultimo stadio: il file ottenuto viene correttamente identificato e classificato come Adwind / jRAT / njRAT dalla sandbox Any.Run. Questo perchè, avendo superato i due stadi iniziali, il codice finale non contiene più controlli particolari, ma si occupa solo di compiere le sue azioni malevole:

La struttura del codice è piuttosto nota: Adwind / jRAT sono già conosciuti e sono stati analizzati in passato.

Conclusioni

Adwind/jRAT è un trojan di accesso remoto (RAT), noto per la sua modularità, che sfrutta Java per assumere il controllo del sistema compromesso e raccogliere dati dalle macchine delle vittime. Grazie alla presenza dei due stadi iniziali, risulta difficile individuare o isolare subito il malware all’interno di una sandbox. È importante notare che, senza un’analisi dettagliata del codice e del comportamento dinamico del malware in un ambiente controllato, è difficile fornire una valutazione accurata delle sue capacità e degli obiettivi a cui mirano gli attaccanti.

In fine, anche se Adwind/jRAT è generalmente indipendente dalla piattaforma, questa variante, come le altre osservate negli anni precedenti, si concentra esclusivamente sulle macchine Windows e sulle applicazioni comuni.

Indicatori di Compromissione

Per facilitare le azioni di contrasto della campagna fraudolenta, di seguito vengono riportati gli IoC identificati durante l’analisi, che sono stati già condivisi con le PA accreditate al Flusso IoC del CERT-AgID.

Immagine del sitoRedazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli

Articoli in evidenza

Immagine del sito
HackerHood di RHC Rivela due nuovi 0day sui prodotti Zyxel
Di Redazione RHC - 21/10/2025

Il ricercatore di sicurezza Alessandro Sgreccia, membro del team HackerHood di Red Hot Cyber, ha segnalato a Zyxel due nuove vulnerabilità che interessano diversi dispositivi della famiglia ZLD (ATP ...

Immagine del sito
Vulnerabilità F5 BIG-IP: 266.000 dispositivi a rischio nel mondo! 2500 in Italia
Di Redazione RHC - 20/10/2025

La Cybersecurity and Infrastructure Security Agency (CISA) e il Multi-State Information Sharing & Analysis Center (MS-ISAC) pubblicano questo avviso congiunto sulla sicurezza informatica (CSA) in ...

Immagine del sito
Interruzione servizi cloud Amazon Web Services, problemi globali
Di Redazione RHC - 20/10/2025

Un’importante interruzione dei servizi cloud di Amazon Web Services (AWS) ha causato problemi di connessione diffusi in tutto il mondo, coinvolgendo piattaforme di grande rilievo come Snapchat, Fort...

Immagine del sito
Stanno Arrivando! Unitree Robotics lancia l’umanoide H2 Destiny Awakening
Di Redazione RHC - 20/10/2025

L’azienda cinese “Unitree Robotics” ha sfidato il primato della robotica statunitense con il lancio del suo umanoide H2 “Destiny Awakening”. L’umanoide unisce la forma umana a movimenti so...

Immagine del sito
Il processore Intel 386 compie 40 anni: così nacque l’era dei 32 bit
Di Redazione RHC - 20/10/2025

Il 20 ottobre 2025 segna un anniversario importante per la storia dell’informatica: il processore Intel 80386, noto anche come i386, celebra il suo 40° compleanno. Ed è un compleanno importante! L...