Andromeda, noto anche come Gamarue o Wauchos, è stato uno dei malware più persistenti e diffusi a livello globale.
Scoperto per la prima volta nel 2011, Andromeda ha evoluto continuamente le sue tecniche di attacco, mantenendo un ruolo centrale nelle attività criminali online.

A dicembre 2017, una collaborazione internazionale tra Europol, FBI e altre agenzie di sicurezza ha portato allo smantellamento di questa botnet.

andromeda malware
  1. Vettori di infezione
  2. Tecniche di persistenza e offuscamento
  3. Capacità e funzionalità
  4. Indicatori di compromissione (IoC) di Andromeda malware
  5. Contromisure

Vettori di infezione

Andromeda utilizzava vari metodi per diffondersi.
I principali vettori di infezione comprendevano campagne di spam con allegati infetti come documenti Word, Excel, PDF e file ZIP.
Il malware era distribuito anche attraverso siti di download illegali e warez, campagne di phishing, exploit kit come Neutrino, Nuclear, Angler e Blacole, drive-by download, dispositivi rimovibili e link malevoli inviati tramite messaggi su social media come Facebook.

Tecniche di persistenza e offuscamento

Una volta installato, Andromeda implementava diverse tecniche per garantire la persistenza e offuscarsi dai sistemi di rilevamento antivirus.
Creava copie di se stesso in varie directory di sistema con nomi casuali, come ad esempio:

%All Users Profile%\Local Settings\Temp\{random}.{random extension}, %All Users Profile%\svchost.exe, %All Users Profile%\{random}.exe, %Program Data%\svchost.exe e %User Temp%\{random}.exe.

Inoltre, modificava il registro di sistema per garantire l’esecuzione automatica all’avvio, inserendo chiavi come HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run SunJavaUpdateSched = “%All Users Profile%\svchost.exe” e HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run 540 = “%All Users Profile%\Local Settings\Temp\{random}.{random extension}”.

Andromeda iniettava se stesso nei processi di sistema per mantenere la propria presenza. Tra i processi bersaglio c’erano %SystemRoot%\system32\msiexec.exe, %SystemRoot%\system32\svchost.exe, %SystemRoot%\system32\wuauclt.exe, %commonappdata%\mswstxqd.exe e %ALLUSERSPROFILE%\mszxurmu.exe.

Capacità e funzionalità

Andromeda è un bot modulare, il che significa che le sue funzionalità potevano essere estese attraverso plugin.
Questi plugin includevano funzionalità di:

  • keylogger
  • rootkit
  • controllo remoto via TeamViewer
  • moduli per la diffusione di ulteriori malware.

Le principali capacità del malware comprendevano:

  1. l’utilizzo di tecniche anti-virtual machine e anti-debugging per evitare il rilevamento
  2. la creazione di botnet utilizzate per attacchi DDoS
  3. la distribuzione di ransomware (come Petya, Cerber, Troldesh)
  4. trojan bancari (Ursnif, Fareit, Carber)
  5. malware spam bot (Cutwail, Lethic)
  6. backdoor.

Il malware era anche in grado di eseguire comandi remoti, scaricare ed eseguire file, e disinstallarsi automaticamente.
Inoltre, rubava informazioni sensibili come dettagli del sistema operativo, indirizzo IP locale e numero di serie del volume root.

Indicatori di compromissione (IoC) di Andromeda malware

Andromeda lasciava tracce specifiche nel file system e nel registro di sistema degli host infetti.
Creava file nelle seguenti directory: %All Users Profile%\Local Settings\Temp\{random}.{random extension}, %All Users Profile%\svchost.exe, %All Users Profile%\{random}.exe, %Program Data%\svchost.exe e %User Temp%\{random}.exe.

Modificava il registro di sistema creando voci per garantirsi l’esecuzione automatica e l’iniezione nei processi di sistema.
Connetteva inoltre a domini malevoli per il comando e controllo, come {BLOCKED}rph.su/in.php e {BLOCKED}gonzmwuehky.nl/in.php.

Contromisure

Per proteggersi da Andromeda e altre minacce simili, si consiglia di:

  • Eliminare i cambiamenti di sistema apportati dal malware, come file creati, voci di registro e servizi.
  • Monitorare il traffico generato dalle macchine client verso i domini e gli indirizzi IP sospetti.
  • Evitare di scaricare software piratato e proteggersi dagli attacchi di social engineering.
  • Eseguire scansioni regolari con soluzioni antivirus aggiornate, disabilitare le politiche di Autorun e Autoplay, utilizzare account con privilegi limitati e non visitare siti web non attendibili.
  • Implementare una politica di password robuste e cambiarle regolarmente, abilitare un firewall personale sui dispositivi, disabilitare i servizi non necessari sui workstation e server, e cambiare le credenziali di accesso predefinite prima di mettere in produzione un sistema.

Andromeda rappresenta un esempio complesso e sofisticato di malware modulare, in grado di evolvere e adattarsi per eludere i meccanismi di difesa. La sua rimozione è stata possibile solo grazie a una cooperazione internazionale e a un’azione coordinata tra il settore pubblico e privato. Tuttavia, la persistenza di varianti del malware sottolinea l’importanza di mantenere alta l’attenzione e di adottare misure preventive efficaci per proteggere i sistemi informatici.