
Nuove Operazioni di Attacco Gootkit
09/17/2019
Proto: N050919.
Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova campagna di attacco diretta ad Aziende ed Utenti italiani. Gli attacchi mirano a compromettere gli utenti bersaglio con impianti malware della famiglia Gootkit (TH-106). La minaccia è in grado di dare accesso remoto agli attaccanti, intercettare ed alterare il traffico di navigazione utente verso alcuni dei principali portali di bancari italiani e francesi. Sono infatti stati trovati riferimenti a gruppi quali Unicredit, In-Bank, Cedacri, Intesa Sanpaolo, Groupe Banque Populaire, Poste Italiane, Crédit Agricole, CariParma, Crédit Coopératif, BNP Paribas, Caisse D'Epargne, Banco BPM e Raiffeisen all’interno delle configurazioni del malware.
Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi:
- Dropurl:
- hxxps:// itp.surfpapara[.com/b807112.bin
- itp.surfpapara[.com
- C2 (gootkit):
- hxxps:// web.mavensd[.org/200
- web.mavensd[.org
- cdn.areascans[.com
- WebInject:
- 185.141.27[.101
- Hash:
- 67a96b2a5657bf39971c50e1b0e7f08f742b62bb1dffe45398298806d2e9fdba vbs
- c18c2e2636ebf84eec95f59b16c3091d02d57ac9f1b9d79fb61e160fb1a32a73 exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index