Campagna di Attacco Gozi
10/27/2017
Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna di attacco malware diretta ad Organizzazioni italiane. La campagna è caratterizzata dall’utilizzo di email fraudolente che mirano a simulare informative per ipotetiche spedizioni in gestione presso il corriere “DHL”: all’interno dei messaggi di posta è presente un archivio compresso - formato RAR - contenente uno script eseguibile in grado di installare malware all’interno della macchina vittima.
Le analisi svolte dai laboratori Yoroi hanno ricondotto il malware installato a varianti della famiglia Gozi, di tipologia Trojan/Banking, in grado di trafugare dati e digitazioni relative alle attività effettuate dall’utente, fornire accesso all’host vittima ed intercettare credenziali utilizzate all’interno di portali web.
La variante analizzata è in grado di rimanere persistente all’interno dell’host bersaglio dove, ad ogni riavvio, il codice del malware viene iniettato all’interno di processi benevoli in esecuzione infettandoli al fine di nascondere la propria presenza all’interno dell’ospite. Il malware, in seguito effettua lo scaricamento di moduli aggiuntivi ed instaura canali di comunicazione verso server di comando sulla rete anonima TOR.
Di seguito si riportano gli indicatori di compromissione legati alla campagna di attacco individuata :
- Email:
- Oggetto:
- “Info spedizione DHL Express”
- “VS SPEDIZIONE DHL AWB 579938727 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
- “VS SPEDIZIONE DHL AWB 7309283792 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
- Mittente:
- "Dhl service" <smtp @festaidea .it>
- "DHL-track" <pasquale.ruggiero @virgilio .it>
- "DHL-mail" <lba.snc @libero .it>
- "Dhl package" <silfer_snc @virgilio .it>
- Allegati:
- SQ.8476489.rar (pattern “<2LETTERE>.<7CIFRE>.rar”)
- Oggetto:
- Hash:
- 5196abf2b6a9abf4947311d63bc21207
- f4ab6512998d02adb8e2fd465c3877c78fbd543f
- Persistenza:
- "%APPDATA%RoamingMicrosoftACCTpcfgappiroxy.exe"
- "HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunadvpgmts" .
- DropUrl:
- hxxp ://www.sabineclaire .com/girasoli/ri.php
- hxxp ://nuovo2.xt500 .it /cli/ri.php
- hxxp ://134.0.117 .224/itexe/stat.php
- Download Componenti:
- hxxp ://berner-stiftung .de/files/tags/AT.png
- hxxp ://fondazionebellani .it/stats/555.bin
- hxxp ://gaestehaus-bockup .de/wp-admin/user/000.dmg
- hxxp ://studio-antoninocalabro .it/xmlrpc/cache/hotel.rar
- hxxp ://melo-medizinprodukte .de/images/A1.vc
- hxxp ://matteoperi.iftung .de/files/tags/AS.png
- hxxp ://fondazionebellani .it/stats/999.bin
- hxxp ://gaestehaus-bockup .de/wp-admin/user/www.dmg
- hxxp ://studio-antoninocalabro .it/xmlrpc/cache/malito.rar
- hxxp ://melo-medizinprodukte .de/images/A2.vc
- hxxp ://matteoperi .it/gallery/admin/Otr/hs.tif
- hxxp ://www.bolognamarcaccio .it/test/u759485.rar
- hxxp ://weartum .at/jvassets/zarch/xx.dmg
- C2 (su rete TOR):
- 65dtso3jjohrwltj .onion
- 4fsq3wnmms6xqybt .onion
- em2eddryi6ptkcnh .onion
- nap7zb4gtnzwmxsv .onion
- t7yz3cihrrzalznq .onion
- C2 (http):
- hxxp ://weartum .at/assets
- hxxp ://niolan .at/assets
- hxxp ://hipohook .cn/assets
- hxxp ://zszsko .at/assets
- hxxp ://voligon .cn/assets
- hxxp ://folysto .at/assets
- hxxp ://weartum .at/assets
- hxxp ://zikoer .su/assets
- hxxp ://aimnop .su/assets
- hxxp ://ribomoon .cn/assets
- hxxp ://chikoole .cn/assets
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
