Campagna Gootkit verso PEC Italiane
05/08/2019
Proto: N020519.
Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco in corso ai danni di Organizzazioni italiane. Sono state infatti intercettate email dirette a caselle di Posta Elettronica Certificata (PEC) contenenti allegati infetti. I messaggi tentano di ingannare l’utente simulando comunicazioni legate a problematiche amministrative, tuttavia al loro interno sono presenti script VBS in grado di infettare la vittima con un impianto malware della famiglia Gootkit: minaccia capace di intercettare le comunicazioni di rete, tra cui le sessioni di home-banking sui principali portali bancari italiani, smart-card inserite e digitazioni utente.
Di seguito si riportano gli indicatori di compromissione estratti:
- Malspam:
- POSTA CERTIFICATA: bonifico a Vs favore. NNNNN
- Dropurl:
- hxxp:// ema.emeraldsurfsciences[.com/v2i.php?need=js&vid=pec9vbs&btduj
- hxxp:/ /vdd.c21breeden[.com/api?avtit
- C2(jasper)
- hxxp:// safa.205dundas[.com/v2i.php?need=body&_=aecuthutsvawbaxcvdwad
- hxxp:// safa.205dundas[.com/v2i.php
- C2(gootkit):
- 185.158.249[.144
- ssw.138front[.com
- martatov[.top
- ami.sigaingegneria[.com
- erre.effe-erre[.es
- filuetrama[.top
- 185.158.249[.144
- Hash:
- 365749d27244bef550e760f96e26771d997891f9fc13254aee81b15ac8422df2 vbs
- d2fe4bb28c995b71fa6739d870117aa34b0ce3ed1b3b8359a1a244549fe873df exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
