Campagna di Attacco Worm/Trickbot 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna di attacco basata su email malevole diretta ad Organizzazioni italiane. La campagna di attacco è motivata da ragioni finanziarie legate all’ambito cyber-crime. 

Le analisi effettuate dai laboratori Yoroi relativamente alla campagna in oggetto hanno permesso di associare la minaccia ad una particolare versione della famiglia malware Trickbot, per la quale risultano attive le seguenti funzionalità:

• Capacità di intercettazione ed esfiltrazione di credenziali in uso dalle vittime presso un ampio numero di Istituti finanziari, tra i quali alcune delle principali istituzioni italiane del settore.
• Capacità di estrapolazione della rubrica dei contatti email di Outlook
• Persistenza nel sistema ed installazione di ulteriore malware
• Capacità di propagazione orizzontale all’interno della rete attraverso lo sfruttamento di exploit EternalBlue

Di seguito si riportano gli indicatori di compromissione legati alla campagna di attacco Trickbot “ser104” :

• Email:
  • Oggetti:
    • “RBC Secure Webmail/Courriel secure”
    • “Important - Payment Advice”
  • Mittenti:
    • “Royal Bank no-reply @rbcwebmail.com”
    • “HSBC no-reply @hsbcpaymentadvice.com”
  • Allegati:
    • “Click2View.zip”
    • “PaymentAdvice.doc”
• Hash:
  • 6a4958f44f3ca30225edd0e9bc54791810cbff1f
• Dropurl:
  • hxxp://diga-consult .de/lensergiopd.png
  • hxxp://druckerei-schroll .de/lensergiopd.png
  • hxxp://hill-familie .de/ser1004.png
• C2 (https su porte 443 o 449):
  • 91.83.88[.51
  • 89.231.[13.38
  • 75.107[.84.190
  • 187.232.]150.175
  • 46.237[.117.193
  • 85.221.243[.6
  • 166.70.[170.198
  • 162.255.]93.51
  • 77.250[.120.93
  • 194.87.[99.21
  • 195.133[.196.130
  • 194[.87.103.184
  • 194.87.[102.14
  • 78.24[.217.227
  • 195.133.[197.9
  • 92.63.[102.64
  • 194[.87.236.59
  • 82.146[.40.206
  • 194.87[.238.53
  • 195.133.[48.67
  • 195.133.[144.237
  • 82.146[.59.247
  • 194.87.92[.191
  • 194.87[.239.28
  • 82.146.[47.127
  • 82.146[.56.32
  • 5.101.78.[112
  • 185.158[.153.134
  • 195.133[.146.232
  • 188.227[.75.224
  • 95.154[.199.82
• Plugin (porta 447):
  • 5.200.35[.133
  • 188.[227.74.233
  • 194.87[.98.238
  • 185.158.152[.225
  • 195.133.49[.17
  • 188.227.[19.99
  • 194.87.[110.50
  • 5.101.[77.92
• Esfiltrazione:
  • hxxp://82.146].47.158 /response.php
  • hxxps://82[.146.47.158/
  • 194.87[.102.39:8082
  • 195.133[.147.102:443
• Propagazione:
  • hxxp://gsagsagagsag. com.fozzyhost.com /toler.png
  • hxxp://gsagsagagsag. com.fozzyhost.com /worming.png
  • hxxp://gsagsagagsag. com.fozzyhost.com /worming2.png
• Persistenza:
  • Cartella “C:Users<USER>AppDataRoamingwinapp”
  • Task giornaliero “ServiceTask” - “Look for services monitor.” - “1.0.1”
  • Servizio “TechnicalSvc”
    • %SystemDrive%techsvc.exe
    • %SystemRoot%system32techsvc.exe

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index