Campagna di Attacco Email Tematizzata “DHL”

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di nuovi attacchi ai danni di utenze italiane basati su email fraudolente che tentano di impersonare comunicazioni provenienti dal noto corriere espresso “DHL”. I messaggi di posta analizzati contengono un archivio compresso all’interno del quale è presente uno script eseguibile “.js” capace di infettare la vittima con malware legato alla famiglia Gozi/DreamBot/Ursnif, in grado di trafugare dati, intercettare digitazioni effettuate su tastiera ed attività utente, fornire accesso backdoor all’host.

Figura 1. Estratto di codice offuscato all'interno dello script malevolo 

Yoroi suggerisce di comunicare alle Vostre utenze della possibile esposizione ad attacchi di questa tipologia in quanto la minaccia non risulta al momento ben identificata da gran parte dei motori AntiVirus.

Figura 2. Copertura AntiVirus in data 2018/02/15

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Oggetto: “VS SPEDIZIONE DHL AWB 0986538892 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”  (o similare)
  • Mittente: “Sup-Dhl” <[email protected]>
  • Allegato: “SW.457905434.zip” (o similare)
• Dropurl:
  • hxxp ://www. rcvag .ch/zi.php
  • hxxps ://wed4fddl7e .ch/fjfddfrnt.com
  • hxxps ://dfBDq .de/exj71h4D.net
  • hxxp:// www .robertolucchin .com/zi.php
• Component Dropurl:
  • hxxp :// mondomusicatania .it/wp-includes/ID3/opds.tif
  • hxxp :// ultimate-onlineshop .com/bilder/potsff.bin
  • hxxp :// a-costruttiva .it/genova/x342.zip
  • hxxp :// ab-eichhammer .de/pixlie/sjdie.pt
  • hxxp :// bettinagiovannini .net/_vti_txt/rt94045.tif
• C2 (TOR):
  • hxxp :// 4fsq3wnmms6xqybt .onion/assets/
  • hxxp :// em2eddryi6ptkcnh .onion/assets/
  • hxxp :// nap7zb4gtnzwmxsv .onion/assets/
  • hxxp :// t7yz3cihrrzalznq .onion/assets/
• Hash:
  • daf88536f96b02c02f7c2eb645a40719836e99839a042672b9a7ee2e79c0562c
  • 663ee6a132dd21386af6be2417d3726e6d16fac4d33d3b1ac538a762f9dd689c
• Persistenza:
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRunadvpgmts
  • C:Users%USER%AppDataRoamingMicrosoftACCTpcfgappiroxy.exe

A questo proposito, Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index