Campagna di Attacco Nemucod

Con la presente Yoroi desidera informarLa riguardo al recente rilievo di molteplici tentativi di attacco ai danni di numerose organizzazioni italiane. Le ondate di attacco intercettate sono caratterizzate da invii di email fraudolente al fine di installare bot malevoli all’interno delle macchine vittima dell’attacco.

I messaggi email malevoli intercettati hanno le seguenti caratteristiche:

• Oggetto: “FATTURA NO. 480 del 23.06.17”  (rilevate anche varianti con numeri data differenti)
• Allegato: “Fatt495860324.zip / fatt.495860324.js” , in generale "Fatt<9_numeri>.zip"
• Mittenti: La maggior parte delle email proviene da account compromessi legati a domini @libero.it, @virgilio.it, @aliceposta.it, @alice.it 

Gli allegati contenuti all’interno dei messaggi di posta fraudolenti sono in grado attivare funzionalità malevole arbitrarie e di scaricare ed eseguire ulteriori malware a seguito di particolari necessità da parte del gruppo cyber-criminale che sta operando gli attacchi in corso. Il malware rilevato appartiene alla famiglia di Trojan/Downloader - JS/Nemucod ed ha elementi in comune con ulteriori ondate di attacco osservate nel maggio 2017 (e.g. email “Saldo fattura del 10_05_2017”). Al momento il malware non risulta estensivamente rilevato dalle soluzioni anti-virus/anti-malware, per tale ragione Yoroi consiglia di sensibilizzare i vostri utenti relativamente all’apertura di contenuti email inattesi.

Figura 1. Copertura antivirus del file malevolo in allegato alle mail fraudolente

Figura 2. Copertura antivirus secondo stage di esecuzione del malware