Campagne di Propagazione Malware Zeus/Panda

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una intensificazione delle campagne di attacco mirate al panorama italiano.  I tentativi di attacco intercettati in questi giorni sono di carattere opportunistico ed hanno lo scopo di ingannare gli utenti di rete attraverso messaggi di posta fraudolenti inerenti a pagamenti, ordinazioni o sedicenti fatture.

Queste ondate di attacco possono contenere documenti Excel malevoli o link a siti web compromessi, attraverso i quali gli attaccanti sono in grado di installare malware riconducibile alla famiglia ZeuS/Panda all’interno degli host vittima. Le varianti del malware individuate sono in grado di trafugare password salvate all'interno del sistema (e.g. Outlook e software FTP), fornire accesso remoto agli attaccanti ed intercettare credenziali inserite dalla vittima all'interno di portali web.

A seguito delle analisi svolte sono state individuate specifiche configurazioni del malware mirate a trafugare dati relativi ad utenze di varie organizzazioni italiane.  Nel dettaglio è stato rilevato un particolare interesse da parte dei cyber-criminali riguardo credenziali utilizzate per accedere a portali di HB di:

• Cedacri
• BPER Group
• Intesa SanPaolo
• BNL
• MPS
• InBank
• BancoPosta
• BCC
• Credem
• ISTITUTO CENTRALE DELLE BANCHE POPOLARI ITALIANE S.P.A.
• CSE - Consorzio Servizi Bancari Scarl
• Banca Generali
• Allianz

A credenziali utilizzate per l'accesso a servizi di posta come:

• Aruba Mail
• PEC Webmail
• Exchange, OWA  (generico, volto a trafugare credenziali inserite in installazioni “Outlook Web Access” aziendali)
• Google Mail
• Outlook Live
• Libero Mail
• Freenet Email

A credenziali per l'accesso ad exchange di cripto-valute quali:

• Bitfinex
• Bitstamp

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Tematizzazione  “Notifica cartella di pagamento”
  • Tematizzazione “RICEVUTA PAGAMENTO” “Documento” “Fattura” “R: Fatture ing.” “allegato fattura gennaio” “gennaio pagamento” “ordine”
    • Possibili allegati “2018-<USERNAME>.xls”
• Dropurl:
  • http:// http://www.centroudito[.it/Notifica_cartella_di_pagamento.zip
  • http:// http://www.newgalvit[.it/Notifica_cartella_di_pagamento.html
  • 89.45[.67.21
  • http:// 89.45.67[.21/connection.jpg
  • softarez[.cf
  • 5.196.42[.124
  • https:// softarez[.cf/mkeyb.gif
• C2:
  • 8a557f045347[.com
  • 93.113.45[.10
  • 02d8a682db98[.ml
  • 7ab7f6ae8798[.ml
  • 02d8a682db98[.ml
  • 137.74.6[.95
  • 02d8a682db10[.ga
  • 185.82.219[.100
  • 7ab7f6ae8798[.ml
  • 137.74.6[.95
  • 7ab7f6ae8710[.ga
  • 191.101[.20.68
  • 7ab7f6ae8798[.cf
  • 89.18.27[.208
  • 02d8a682db47[.tk
  • 7ab7f6ae8747[.tk
• Exfiltration:
  • gemendoloma[.top
  • seccunet[.com
  • elementaleios[.win
  • https:// elementaleios[.win/kenta/
  • https:// elementaleios[.win/kenta/in/
  • https:// seccunet[.com/data/
  • https:// gemendoloma[.top/?adm=ssl&s=X&s5=<SOCKS>&n=zoo&b=<BOTID>&s5=<SOCKS>&js=bizsedarcitoken_js&_=
  • https:// elementaleios[.win/kenta/in/gate.php?step=ADD_INFO&bot_id=<BOTID>&login=&bank_name=<BANKNAME>&data=z
• Hash:
  • 9b7e7789e9c390d8972ef4772b588ba29e0e84a4
  • 1ac908d03169bb5f6cdb19b2dfdd89c50a1f21aa
  • 1403eb47d47ad3752d304645cb3beec1b9d4ead5
  • 453255b4ad31d4f5e82519f549122817322e2894
• Persistenza:
  • %TEMP%<CIFRE_CASUALI>.exe  (e.g. %TEMP%3574851.exe)
  • %APPDATA%RoamingMacromediaFlash Playermacromedia.comsupportflashplayersys<NOME_FITTIZIO>.exe  (e.g. “mail.zip.exe”)
  • HKCUSoftwareMicrosoftWindowsCurrentVersionRun<NOME_FITTIZIO>.exe (e.g. “Control Panel.exe”)
  • %APPDATA%RoamingAdobeFlash PlayerAssetCache<NOME_FITTIZIO>.exe  (e.g. “Internet Explorer.exe”)
  • HKCUSoftwareMicrosoftAdagavEkymsy
  • HKCUSoftwareMicrosoftAwav
  • HKCUSoftwareMicrosoftKeepqo
  • HKCUSoftwareMicrosoftAdagav
  • HKCUSoftwareMicrosoftAdagavEcakyhaxd
  • HKCUSoftwareMicrosoftAdagavAmugorz

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index