
Campagna di Attacco Gootkit
09/21/2018
Campagna di Attacco Gootkit
Con la presente Yoroi desidera informarLa relativamente al rilievo di una nuova campagna di attacco rivolta a molteplici Organizzazioni ed Aziende italiane. I tentativi di compromissione sono caratterizzati dall'invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione.
All'interno delle email recapitate è presente un collegamento ad un archivio compresso “Nuova immagine bitmap (2).zip” contenente uno script eseguibile Javascript malevolo. Una volta eseguito, lo script è in grado di ingannare l’utente simulando l’apertura di un reale documento pdf, tuttavia nel frattempo procede all'installazione di malware della famiglia Trojan/Gootkit: minaccia in grado di intercettare comunicazioni effettuate dall'host infetto, smartcard inserite e digitazioni utente.
Figura 1. Porzioni di codice dell’impianto Gootkit estratti in sede di analisi
Di seguito si riportano gli indicatori di compromissione individuati:
- Malspam:
- Oggetto: “L'ordine N. YT <CIFRE> Spedito A Domicilio”
- Dropurl (zip):
- hxxp:// followjerry[.com/FilesDownload.php?id_msg=d3i8HVJuMuXGTR4B
- hxxp:// annakennedy.]co.uk/documentload.php?jwh=3Dt4bR1tn
- hxxp:// iwantmylifeback.]co.uk/documentload.php?jwh=3DK1irEDC
- Dropurl (exe):
- hxxps:// della.themeshigh[.com/crowded/first.sip
- hxxps:// scopri.wpeverimport[.com/great.lib
- hhackzgjnjfwbuttuzjo[.com
- betjzoqxlezo[.com
- Decoy url (pdf):
- C2 (Gootkit):
- 176.10.125[.51
- bannerskeepers[.com
- eldak.brucewjohnson[.net
- ch.digitalandanalog[.co[.in
- Hash:
- 7e3cfd03d5e97a01dd9c613ba37803cb78d88a86a7e69101618121b9db418bed zip
- f0d0099cd0d82a14cd0c1986fa6f22af3709e0db357c3c70eb33974f3ced3773 js
- 45eecfcbc8a65f4e3bdf377e3d68a193035351c77dc33fc2a7e5439ada78c8db exe
- 7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820 exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index