Campagne di Malspam Ransomware con Allegati PDF

Con la presente Yoroi desidera informarLa che in questi giorni sono state rilevate pericolose campagne di attacco dirette a varie organizzazioni italiane con l’obiettivo di propagare infezioni Ransomware. Le ondate di attacco utilizzano tecniche di phishing di base per ingannare le vittime e sono caratterizzate dall’utilizzo di reali allegati PDF in grado di bypassare eventuali restrizioni sulla tipologia di allegati autorizzati implementati all’interno dei servizi di posta elettronica.

I documenti PDF allegati alle mail fraudolente risultano estremamente pericolosi in quanto contengono al loro interno un ulteriore documento World armato in grado di infettare la macchina vittima. La particolarità di questi allegati malevoli risiede nelle modalità di incorporazione del secondo documento come oggetto allegato: all’apertura del PDF originario viene infatti subito proposto all’utente di acconsentire all’estrazione ed esecuzione automatica del file .docm nascosto al suo interno.

Figura 1. Apertura documento PDF con popup immediato relativo ad autorizzazione esecuzione documento Word

A seguito dell’apertura del secondo documento Word, viene scaricato sulla macchina ulteriore codice malevolo da una o più locazioni di rete esterne, ad esempio:

• techno-kar[.]ru
• fkksjobnn43[.]org
• takanashi [.]jp
• babil117[.]com
• easysupport[.]us
• julian-g[.]ro
• phinamco[.]com
• tiskr[.]com
• trans-atm[.]com
• trialinsider[.]com
• Wipersdirect[.]com
• rktazuzi7hbln7sy[.]onion

Al termine dello scaricamento la macchina vittima dell’attacco viene compromessa con una variante Ransomware denominata Jaff, in grado di rendere inutilizzabile gran parte dei documenti presenti all’interno dei direttori del malcapitato.

Figura 2. Esempio file cifrati dalla minaccia Jaff

Benché esistano affinità tra la minaccia Jaff e la nota famiglia Ransomware Locky, la quale nei mesi passati è stata autrice di attacchi ai danni di numerosi utenti di rete italiani, non risulta ancora determinabile l’eventuale affiliazione allo stesso gruppo criminale che opera in infrastrutture e campagne di attacco Ransomware da lungo tempo.

Siccome la campagna di attacco descritta ha grande pericolosità per via dell’utilizzo di vettori di propagazione  potenzialmente in grado di oltrepassare eventuali restrizioni di sicurezza, Yoroi suggerisce di sensibilizzare i Vostri utenti di rete riguardo all’apertura di allegati PDF inattesi in quanto esiste il rischio di ulteriori campagne di attacco, nelle quali gli attaccanti potrebbero utilizzare tecniche di Phishing più sofisticate,  pericolose e mirate.

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere sistemi, signature e sandbox aggiornate, verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia inoltre di mantenere alto il livello di consapevolezza dei vostri utenti e delle vostre strutture, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index