
Campagna di attacco verso Organizzazioni italiane (Malspam, Trojan/Banking)
08/08/2017
Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi ai danni di molteplici organizzazioni italiane: sono stati rilevati in queste giornate più invii di email fraudolente le quali simulano il recapito di fatture elettroniche da parte di fornitori vari. Le email sono caratterizzate da:
- Oggetto: “fatt n. ?? del 7/8/2017” (?? cifre arbitrarie)
- Allegati: “ft.2017_n.??.xls” , "fatt??.xls" (?? cifre arbitrarie)
- Mittenti: le ondate dirette alle organizzazioni italiane provengono da numerosi account email relativi a domini @191.it @alice.it @aliceposta.it @certimprese.it @fastwebnet.it @gazeta.pl @hotmail.it @infocert.it @interia.pl @inwind.it @legalmail.it @libero.it @live.it @mail.waw.pl @neostrada.pl @op.pl @outlook.it @plusnet.pl @poczta.onet.pl @pro.onet.pl @tim.it @tiscali.it @um.warszawa.pl @virgilio.it @yahoo.it
I documenti Excel allegati alle email contengono codice malevolo che, una volta abilitato dall’utente, opera lo scaricamento e la messa in esecuzione di ulteriore malware infettando la macchina vittima.
Le analisi svolte internamente hanno collocato la minaccia scaricata nell’ambito dei Banking/Trojan, identificando particolari varianti della famiglia malware ZeuS denominate Chthonic. La variante rilevata utilizza tecniche di evasione e resta latente all’interno dell’host vittima per svariati minuti/ore prima di attivarsi, pertanto in caso di riscontri parziali di infezione Yoroi consiglia di richiedere supporto per ulteriori verifiche in modo da appurare l’assenza di infezioni attive.
Figura 1. Rilevamento comportamenti evasivi ed attivazione malware
Di seguito si riportano gli indicatori di compromissione rilevati:
- Drop url
- https ://naiillad[.]date/ex3.exe
- Sample
- cb3173a820ac392005de650bbd1dd24543a91e72d4d56300a7795e887a8323b2
- C2
- http ://amellet[.]bit/html/
- http ://amellet[.]bit/a/
- Persistenza
- HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRuntMSBuild
- %APPDATA%tMSBuildtMSBuild.exe
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index