Logo
Hamburger Menu Icon
Yoroi Background

Campagna di Attacco “Agenzia Entrate”

06/29/2020

Proto: N060620.

Con la presente Yoroi desidera informarla riguardo al rilevamento di una estensiva campagna di attacco ai danni di utenti e organizzazioni italiane. Le email fraudolente simulano comunicazioni da parte di Agenzia Entrate che invitano le vittime a prendere visione del documento allegato alla comunicazione ed a non inoltrarla ad altri soggetti. 

Figura. Esempio mesaggio malevolo

All’interno dei messaggi è infatti presente un archivio compresso contenente un documento Excel malevolo in grado di infettare la macchina bersaglio con un impianto malware della famiglia Ursnif (TH-124). Il documento contiene un particolare tipo di macro conosciuto come XLM macro che, a differenza delle macro VBA tradizionali, ha capacità di bypassare filtri di protezione anti-macro perimetrali.

Di seguito si riportano gli indicatori di compromissione estratti durante le analisi condotte:

  • Malspam:
    • Oggetto: IL DIRETTORE DELL’AGENZIA DELLE ENTRATE NNNNNN@
    • Allegato: utente_NNNNN.zip
  • Dropurl:
    • hxxp:// gstat.securityguardlisting.[com/setup.exe
    • gstat.securityguardlisting.[com
  • C2 (Ursnif): 
    • hxxp:// line.ehrlum[.com/images/
    • line.ehrlum.[com
    • gstat.peshtigodental[.com
    • gstat.sloleaks.[com
    • gstat.securezal.[com
    • gstat.securezal.[xyz
    • gstat.secundato[.com
    • gstat.secundato[.net
    • gstat.secundamo[.com
    • gstat.premiamo[.eu
    • gstat.premiamo.[com
    • gstat.securezzas.[com
    • gstat.securezzis.[net
    • gstat.securanto.[net
    • gstat.securanto.[com
  • Hash:
    • 1bd17fda16fe9d8946e7cdb116ab8203a072a8caa962b104d5c047c19d30b342
    • 246b59e9a4e64371d08177e6f12175fb6a1dac18fb1614a56af9386c47a3f35c
    • a2ae6fbaadf2df698f53092858dbb2d9a16d5f792c1a7eb72148954c01318b8b
    • dd6bad2de66bb183b02047f0792ef6d44bc35b3326702faa1bb366188be6f7c4
    • 56cb618af797072fc01cc1d24ac0d11574979a69e34b6ef6cd51023ea724c07d

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram