Con la presente Yoroi desidera informarLa relativamente al rilievo di una nuova campagna di attacco rivolta a molteplici Organizzazioni ed Aziende italiane. I tentativi di compromissione sono caratterizzati dall'invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione.

All'interno delle email recapitate è presente un collegamento ad un archivio compresso “Nuova immagine bitmap (2).zip” contenente uno script eseguibile Javascript malevolo. Una volta eseguito, lo script è in grado di ingannare l’utente simulando l’apertura di un reale documento pdf, tuttavia nel frattempo procede all'installazione di malware della famiglia Trojan/Gootkit: minaccia in grado di intercettare comunicazioni effettuate dall'host infetto, smartcard inserite e digitazioni utente.

Figura 1.  Porzioni di codice dell’impianto Gootkit estratti in sede di analisi

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Oggetto: “L'ordine N. YT <CIFRE> Spedito A Domicilio”
• Dropurl (zip):
  • hxxp:// followjerry[.com/FilesDownload.php?id_msg=d3i8HVJuMuXGTR4B
  • hxxp:// annakennedy.]co.uk/documentload.php?jwh=3Dt4bR1tn
  • hxxp:// iwantmylifeback.]co.uk/documentload.php?jwh=3DK1irEDC
• Dropurl (exe):
  • hxxps:// della.themeshigh[.com/crowded/first.sip
  • hxxps:// scopri.wpeverimport[.com/great.lib
  • hhackzgjnjfwbuttuzjo[.com
  • betjzoqxlezo[.com
• Decoy url (pdf):
  • hxxps:// http://www.ordineavvocatibelluno[.com/upload/news/circolare%20software%20formazione%202018.pdf
• C2 (Gootkit):
  • 176.10.125[.51
  • bannerskeepers[.com
  • eldak.brucewjohnson[.net
  • ch.digitalandanalog[.co[.in
• Hash:
  • 7e3cfd03d5e97a01dd9c613ba37803cb78d88a86a7e69101618121b9db418bed  zip
  • f0d0099cd0d82a14cd0c1986fa6f22af3709e0db357c3c70eb33974f3ced3773  js
  • 45eecfcbc8a65f4e3bdf377e3d68a193035351c77dc33fc2a7e5439ada78c8db  exe
  • 7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index