I ricercatori di Cybersecurity di Check Point hanno scoperto una tendenza crescente degli hacker a sfruttare strumenti commerciali di imballaggio come BoxedApp per nascondere e distribuire vari ceppi di malware. Nell’ultimo anno è stato osservato un aumento significativo dell’abuso dei prodotti BoxedApp, in particolare negli attacchi rivolti a istituzioni finanziarie e organizzazioni governative.
BoxedApp offre una serie di packer commerciali, tra cui BoxedApp Packer e BxILMerge, che forniscono funzionalità avanzate come l’archiviazione virtuale (file system virtuale, registro virtuale), i processi virtuali e un sistema di strumentazione universale (aggancio API WIN/NT). Sebbene questi strumenti siano stati progettati per scopi legittimi, gli attori delle minacce li hanno sfruttati per confezionare payload dannosi, eludere il rilevamento e rendere più difficili le attività di analisi.
Secondo le indagini dei ricercatori, i principali prodotti BoxedApp abusati sono BoxedApp Packer e BxILMerge, entrambi costruiti sopra l’SDK di BoxedApp. Questi prodotti garantiscono agli attori delle minacce l’accesso alle funzionalità più avanzate dell’SDK, consentendo loro di creare packer personalizzati e unici che sfruttano funzionalità all’avanguardia pur rimanendo abbastanza diversi da evitare il rilevamento statico.
I vantaggi derivanti dall’utilizzo delle funzionalità avanzate ed esclusive offerte da BoxedApp SDK superano gli svantaggi derivanti dall’utilizzo di un packer commerciale noto. Tra le caratteristiche e le capacità più importanti vi sono il File System Virtuale, il Registro Virtuale, i Processi Virtuali (PE Injection), l’SDK per l’aggancio delle API WIN/NT, il packing generale (distruzione delle importazioni PE originali, compressione, ecc.), la produzione di bundle di singoli file e la garanzia che tutto l’I/O verso lo storage virtuale rimanga in memoria senza scaricare i file su disco.
Sebbene i prodotti BoxedApp siano disponibili da diversi anni, il loro abuso per scopi dannosi è aumentato in modo significativo nell’ultimo anno, senza che finora sia stato riconosciuto pubblicamente il loro legame con BoxedApp. Sebbene l’uso di packer commerciali abbia sia pro che contro per gli aggressori, le capacità avanzate che forniscono sembrano superare i potenziali svantaggi.
I vantaggi dell’utilizzo dei prodotti BoxedApp per la distribuzione di malware includono:
- Prodotti affidabili e pronti all’uso con funzionalità avanzate
- SDK BoxedApp disponibile per la creazione di packer personalizzati e diversificati
- Sistema di archiviazione virtuale proprietario (Virtual File System, Virtual Registry)
- Creazione di processi virtuali per l’iniezione di PE
- SDK semplice per agganciare le API WIN/NT
- Impacchettamento generale (distrugge le importazioni di PE originali, esegue la compressione, ecc.)
- Produzione di bundle a file singolo con tutte le dipendenze in Virtual Storage
- Tutto l’I/O verso il Virtual Storage rimane in memoria, evitando cadute di file su disco
- Difficoltà nel distinguere le applicazioni impacchettate regolari da quelle dannose (alto tasso di falsi positivi).
I contro includono:
- Facile rilevamento statico dei prodotti BoxedApp originali utilizzati per il confezionamento
- Rilevamento statico generico di alcune funzionalità dell’SDK comunemente utilizzate per scopi dannosi (ad esempio, aggancio di API WIN/NT, iniezione di processi virtuali – PE).
- Alto tasso di rilevamento di falsi positivi per le applicazioni non dannose confezionate da BoxedApp
Nonostante l’elevato tasso di falsi positivi, che potrebbe causare discrepanze e innescare rilevamenti anche per applicazioni non dannose, Windows Defender integrato e altre soluzioni antivirus di alto livello non sono in genere interessati.
I ricercatori hanno analizzato circa 1.200 campioni di BoxedApp inviati a VirusTotal negli ultimi tre anni ed elaborati con successo dalle sandbox VT. È allarmante notare che il 25% di questi campioni è stato rilevato come dannoso in base al loro comportamento. La cronologia di invio a VirusTotal di questi campioni dannosi mostra una tendenza crescente all’abuso di BoxedApp per la distribuzione di malware.
Tra le famiglie di malware più comunemente distribuite vi sono RAT (Trojan ad accesso remoto) come QuasarRAT, NanoCore, NjRAT, Neshta, AsyncRAT e LodaRAT, nonché stealers come RevengeRAT, AgentTesla, RedLine e Remcos. Inoltre, sono stati rilevati casi di ransomware come LockBit.
I ricercatori hanno condotto un’analisi approfondita degli interni di BoxedApp, concentrandosi sulle strutture binarie risultanti confezionate da diversi prodotti. Questa analisi ha fornito spunti per disimballare il Virtual Storage e ricostruire i principali binari dannosi. Sono state inoltre fornite le firme Yara per aiutare a rilevare staticamente il packer in uso, distinguendo al contempo il prodotto specifico utilizzato.
