
Campagne di Propagazione Malware Zeus/Panda
01/22/2018
Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una intensificazione delle campagne di attacco mirate al panorama italiano. I tentativi di attacco intercettati in questi giorni sono di carattere opportunistico ed hanno lo scopo di ingannare gli utenti di rete attraverso messaggi di posta fraudolenti inerenti a pagamenti, ordinazioni o sedicenti fatture.
Queste ondate di attacco possono contenere documenti Excel malevoli o link a siti web compromessi, attraverso i quali gli attaccanti sono in grado di installare malware riconducibile alla famiglia ZeuS/Panda all’interno degli host vittima. Le varianti del malware individuate sono in grado di trafugare password salvate all'interno del sistema (e.g. Outlook e software FTP), fornire accesso remoto agli attaccanti ed intercettare credenziali inserite dalla vittima all'interno di portali web.
A seguito delle analisi svolte sono state individuate specifiche configurazioni del malware mirate a trafugare dati relativi ad utenze di varie organizzazioni italiane. Nel dettaglio è stato rilevato un particolare interesse da parte dei cyber-criminali riguardo credenziali utilizzate per accedere a portali di HB di:
- Cedacri
- BPER Group
- Intesa SanPaolo
- BNL
- MPS
- InBank
- BancoPosta
- BCC
- Credem
- ISTITUTO CENTRALE DELLE BANCHE POPOLARI ITALIANE S.P.A.
- CSE - Consorzio Servizi Bancari Scarl
- Banca Generali
- Allianz
A credenziali utilizzate per l'accesso a servizi di posta come:
- Aruba Mail
- PEC Webmail
- Exchange, OWA (generico, volto a trafugare credenziali inserite in installazioni “Outlook Web Access” aziendali)
- Google Mail
- Outlook Live
- Libero Mail
- Freenet Email
A credenziali per l'accesso ad exchange di cripto-valute quali:
- Bitfinex
- Bitstamp
Di seguito si riportano gli indicatori di compromissione individuati:
- Malspam:
- Tematizzazione “Notifica cartella di pagamento”
- Tematizzazione “RICEVUTA PAGAMENTO” “Documento” “Fattura” “R: Fatture ing.” “allegato fattura gennaio” “gennaio pagamento” “ordine”
- Possibili allegati “2018-<USERNAME>.xls”
- Dropurl:
- http:// http://www.centroudito[.it/Notifica_cartella_di_pagamento.zip
- http:// http://www.newgalvit[.it/Notifica_cartella_di_pagamento.html
- 89.45[.67.21
- http:// 89.45.67[.21/connection.jpg
- softarez[.cf
- 5.196.42[.124
- https:// softarez[.cf/mkeyb.gif
- C2:
- 8a557f045347[.com
- 93.113.45[.10
- 02d8a682db98[.ml
- 7ab7f6ae8798[.ml
- 02d8a682db98[.ml
- 137.74.6[.95
- 02d8a682db10[.ga
- 185.82.219[.100
- 7ab7f6ae8798[.ml
- 137.74.6[.95
- 7ab7f6ae8710[.ga
- 191.101[.20.68
- 7ab7f6ae8798[.cf
- 89.18.27[.208
- 02d8a682db47[.tk
- 7ab7f6ae8747[.tk
- Exfiltration:
- gemendoloma[.top
- seccunet[.com
- elementaleios[.win
- https:// elementaleios[.win/kenta/
- https:// elementaleios[.win/kenta/in/
- https:// seccunet[.com/data/
- https:// gemendoloma[.top/?adm=ssl&s=X&s5=<SOCKS>&n=zoo&b=<BOTID>&s5=<SOCKS>&js=bizsedarcitoken_js&_=
- https:// elementaleios[.win/kenta/in/gate.php?step=ADD_INFO&bot_id=<BOTID>&login=&bank_name=<BANKNAME>&data=z
- Hash:
- 9b7e7789e9c390d8972ef4772b588ba29e0e84a4
- 1ac908d03169bb5f6cdb19b2dfdd89c50a1f21aa
- 1403eb47d47ad3752d304645cb3beec1b9d4ead5
- 453255b4ad31d4f5e82519f549122817322e2894
- Persistenza:
- %TEMP%<CIFRE_CASUALI>.exe (e.g. %TEMP%3574851.exe)
- %APPDATA%RoamingMacromediaFlash Playermacromedia.comsupportflashplayersys<NOME_FITTIZIO>.exe (e.g. “mail.zip.exe”)
- HKCUSoftwareMicrosoftWindowsCurrentVersionRun<NOME_FITTIZIO>.exe (e.g. “Control Panel.exe”)
- %APPDATA%RoamingAdobeFlash PlayerAssetCache<NOME_FITTIZIO>.exe (e.g. “Internet Explorer.exe”)
- HKCUSoftwareMicrosoftAdagavEkymsy
- HKCUSoftwareMicrosoftAwav
- HKCUSoftwareMicrosoftKeepqo
- HKCUSoftwareMicrosoftAdagav
- HKCUSoftwareMicrosoftAdagavEcakyhaxd
- HKCUSoftwareMicrosoftAdagavAmugorz
Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index