Campagna di attacco Zeus/Panda
04/16/2018
Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi rivolta ad utenti ed organizzazioni italiane: le email fraudolente vengono distribuite da mittenti potenzialmente compromessi e sono caratterizzate da richieste d’ordine fittizie od ipotetici moduli F24.
Figura 1. Esempio documento Excel malevolo rilevato
I messaggi malevoli contengono documenti Excel in grado di scaricare malware della famiglia Zeus/Panda, il malware è configurato per esfiltrare informazioni dall'host vittima (cookie di sessione, password, form web, certificati) ed intercettare credenziali e sessioni utente presso istituti bancari o finanziari quali: BNL, CEDACRI, BPER, FINECO, CARIGE, INBANK, INTESA SANPAOLO, POSTE, QUERCIA.
Di seguito si riportano gli indicatori di compromissione individuati:
- Malspam:
- Oggetto:
- conferma d'ordine
- ordine in allegato
- conferma d'ordine in allegato 16/04
- in allegato troverete la conferma d'ordine
- conferma d'ordine in allegato
- Conferma d'ordine in allegato
- 16/04/2018 conferma d'ordine in allegato
- ordine aprile
- conferma e accettazione ordine
- f24
- Allegato:
- Ordine del 16-04-2018 - Documento <4CIFRE>.xls (o similare)
- f24_<7CIFRE>.xls (o similare)
- Mittenti:
- utenze potenzialmente compromesse (@ alice.it aliceposta.it arubamail.it czrrz.191.it email.it fastwebnet.it hotmail.it icloud.com inwind.it istruzione.it ktdtz.191.it legalmail.it libero.it outlook.it pec.it tim.it tin.it tiscali.it yahoo.it)
- Oggetto:
- Dropurl:
- 188.165.62[.17
- microratings[.tk
- https ://microratings[.tk/videos
- C2 (https):
- 178.33.129[.67
- 487BD01E2610[.ga
- Webinjects:
- elemenatalelib[.space
- https ://elemenatalelib[.space/alko/in/pp/p.php?
- https ://elemenatalelib[.space/kenta/in/bnl/bnl.php?
- https ://elemenatalelib[.space/kenta/in/bnl/rp.php?
- https ://elemenatalelib[.space/kenta/in/bpergroup/bpe.php?
- https ://elemenatalelib[.space/kenta/in/businesswaybnl/bway.php?
- https ://elemenatalelib[.space/kenta/in/businesswaybnl/rp.php?
- https ://elemenatalelib[.space/kenta/in/cbibanking/x_cbi.php?
- https ://elemenatalelib[.space/kenta/in/cedacri/ceda.php?
- https ://elemenatalelib[.space/kenta/in/cedacri/ceda_p.php?
- https ://elemenatalelib[.space/kenta/in/fineco/fn.php?
- https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_online.php?
- https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_vbank.php?
- https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_wps.php?
- https ://elemenatalelib[.space/kenta/in/inbank/com.php?
- https ://elemenatalelib[.space/kenta/in/intesasanpaolo_pers/int_p.php?
- https ://elemenatalelib[.space/kenta/in/intesasanpaolo_pers_old/int_p_old.php?
- https ://elemenatalelib[.space/kenta/in/intesasanpaolo/repl.php?
- https ://elemenatalelib[.space/kenta/in/popso/pop.php?
- https ://elemenatalelib[.space/kenta/in/poste/pin.php?
- https ://elemenatalelib[.space/kenta/in/quercia/db.php?
- https ://elemenatalelib[.space/kenta/in/relaxbanking/rel.php?
- https ://elemenatalelib[.space/novum/i/autisttest/test.php?
- https ://elemenatalelib[.space/novum/js/check/intesasanpaolo/
- https ://elemenatalelib[.space/novum/js/login/dbonline/
- https ://elemenatalelib[.space/novum/js/login/intesasanpaolo/
- Hash:
- 7ba72542a9b3bf275e67023ca37759761a040f98b5860a59684019a0b8559990 xls
- e5f32f9d17ca77b677b77a6ab9f497877711226845ccca5e877bf2a2dc833cf6 xls
- c6a7246f0e4f407338f5aa081708da43d1354b7d4cd46fc855f7ca17646ebfc2 exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
