Campagne di Attacco “Dichiarazione dei redditi”

Proto: N010119.

Con la presente Yoroi desidera informarLa relativamente ad una nuova ondata di attacchi mirati a compromettere organizzazioni ed utenze italiane. La campagna malevola si manifesta con messaggi di posta fraudolenti preparati per indurre le vittime all'apertura di link remoti in grado di installare malware della famiglia Danabot.

Figura 1. Esempio di messaggio malevolo.


Figura 2. Archivio contenente la minaccia Brushaloader.

All'apertura del link inserito nei messaggi email, viene scaricato un archivio compresso contenente uno script vbs in grado di mettere in esecuzione la minaccia Brushaloader, la quale è attualmente configurata per scaricare un impianto malware Danabot capace di intercettare credenziali di numerosi portali bancari e provider di posta (rif. “Dissecting The Danabot Payload Targeting Italy”).

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi effettuate:

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index