Andromeda, noto anche come Gamarue o Wauchos, è stato uno dei malware più persistenti e diffusi a livello globale.
Scoperto per la prima volta nel 2011, Andromeda ha evoluto continuamente le sue tecniche di attacco, mantenendo un ruolo centrale nelle attività criminali online.
A dicembre 2017, una collaborazione internazionale tra Europol, FBI e altre agenzie di sicurezza ha portato allo smantellamento di questa botnet.
- Vettori di infezione
- Tecniche di persistenza e offuscamento
- Capacità e funzionalità
- Indicatori di compromissione (IoC) di Andromeda malware
- Contromisure
Vettori di infezione
Andromeda utilizzava vari metodi per diffondersi.
I principali vettori di infezione comprendevano campagne di spam con allegati infetti come documenti Word, Excel, PDF e file ZIP.
Il malware era distribuito anche attraverso siti di download illegali e warez, campagne di phishing, exploit kit come Neutrino, Nuclear, Angler e Blacole, drive-by download, dispositivi rimovibili e link malevoli inviati tramite messaggi su social media come Facebook.
Tecniche di persistenza e offuscamento
Una volta installato, Andromeda implementava diverse tecniche per garantire la persistenza e offuscarsi dai sistemi di rilevamento antivirus.
Creava copie di se stesso in varie directory di sistema con nomi casuali, come ad esempio:
%All Users Profile%\Local Settings\Temp\{random}.{random extension}, %All Users Profile%\svchost.exe, %All Users Profile%\{random}.exe, %Program Data%\svchost.exe e %User Temp%\{random}.exe.
Inoltre, modificava il registro di sistema per garantire l’esecuzione automatica all’avvio, inserendo chiavi come HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SunJavaUpdateSched = “%All Users Profile%\svchost.exe” e HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 540 = “%All Users Profile%\Local Settings\Temp\{random}.{random extension}”.
Andromeda iniettava se stesso nei processi di sistema per mantenere la propria presenza. Tra i processi bersaglio c’erano %SystemRoot%\system32\msiexec.exe, %SystemRoot%\system32\svchost.exe, %SystemRoot%\system32\wuauclt.exe, %commonappdata%\mswstxqd.exe e %ALLUSERSPROFILE%\mszxurmu.exe.
Capacità e funzionalità
Andromeda è un bot modulare, il che significa che le sue funzionalità potevano essere estese attraverso plugin.
Questi plugin includevano funzionalità di:
Le principali capacità del malware comprendevano:
- l’utilizzo di tecniche anti-virtual machine e anti-debugging per evitare il rilevamento
- la creazione di botnet utilizzate per attacchi DDoS
- la distribuzione di ransomware (come Petya, Cerber, Troldesh)
- trojan bancari (Ursnif, Fareit, Carber)
- malware spam bot (Cutwail, Lethic)
- backdoor.
Il malware era anche in grado di eseguire comandi remoti, scaricare ed eseguire file, e disinstallarsi automaticamente.
Inoltre, rubava informazioni sensibili come dettagli del sistema operativo, indirizzo IP locale e numero di serie del volume root.
Indicatori di compromissione (IoC) di Andromeda malware
Andromeda lasciava tracce specifiche nel file system e nel registro di sistema degli host infetti.
Creava file nelle seguenti directory: %All Users Profile%\Local Settings\Temp\{random}.{random extension}, %All Users Profile%\svchost.exe, %All Users Profile%\{random}.exe, %Program Data%\svchost.exe e %User Temp%\{random}.exe.
Modificava il registro di sistema creando voci per garantirsi l’esecuzione automatica e l’iniezione nei processi di sistema.
Connetteva inoltre a domini malevoli per il comando e controllo, come {BLOCKED}rph.su/in.php e {BLOCKED}gonzmwuehky.nl/in.php.
Contromisure
Per proteggersi da Andromeda e altre minacce simili, si consiglia di:
- Eliminare i cambiamenti di sistema apportati dal malware, come file creati, voci di registro e servizi.
- Monitorare il traffico generato dalle macchine client verso i domini e gli indirizzi IP sospetti.
- Evitare di scaricare software piratato e proteggersi dagli attacchi di social engineering.
- Eseguire scansioni regolari con soluzioni antivirus aggiornate, disabilitare le politiche di Autorun e Autoplay, utilizzare account con privilegi limitati e non visitare siti web non attendibili.
- Implementare una politica di password robuste e cambiarle regolarmente, abilitare un firewall personale sui dispositivi, disabilitare i servizi non necessari sui workstation e server, e cambiare le credenziali di accesso predefinite prima di mettere in produzione un sistema.
Andromeda rappresenta un esempio complesso e sofisticato di malware modulare, in grado di evolvere e adattarsi per eludere i meccanismi di difesa. La sua rimozione è stata possibile solo grazie a una cooperazione internazionale e a un’azione coordinata tra il settore pubblico e privato. Tuttavia, la persistenza di varianti del malware sottolinea l’importanza di mantenere alta l’attenzione e di adottare misure preventive efficaci per proteggere i sistemi informatici.
- Autore articolo
- Gli ultimi articoli
Nata a Taranto nel 1996 e diplomata in “Amministrazione finanza e marketing articolazione relazioni internazionali”. Ho seguito svariati corsi di formazione e ho avuto diverse esperienze lavorative nel mondo del marketing online e della comunicazione. Ad oggi sono scrittrice e mi occupo, oltre che dei social media, anche di seo, web/graphic design e fotografia.