Con la presente Yoroi desidera informarLa relativamente all'utilizzo di nuovi vettori di attacco volti alla propagazione di malware per mezzo messaggi di posta malevoli. Sono stati recentemente osservati tentativi di invio di email contenenti allegati infetti con estensioni inusuali rispetto alle campagne di attacco più comuni: i documenti inseriti all'interno dei messaggi fraudolenti sono infatti caratterizzati dall'estensione “.WIZ”.

L’estensione “.wiz” era in origine utilizzata dalle suite Office di Microsoft per indicare file di tipologia “Microsoft Word Wizard” volti alla creazione di percorsi guidati per l'utente, tuttavia anche le moderne versioni di Microsoft Office sono associate alla medesima estensione e risultano in grado di aprire documenti di questa tipologia.

Figura 1. File “.wiz” malevolo

I documenti Word con estensione “.wiz” recentemente rilevati contengono al loro interno codice macro malevolo in grado di scaricare ed eseguire un ulteriore eseguibile sull'host vittima: in base alle investigazioni svolte si tratta di una variante della famiglia malware Backdoor/Cobalt, in grado di sfruttare tecniche di C2 basate su tunnel DNS.

Figura 2. Codice malevolo all'interno del documento “.wiz”

Yoroi suggerisce di prestare attenzione alla eventuale ricezione di allegati email con estensione “.wiz” o “.wbk” e di valutare il loro filtraggio all'interno dei sistemi perimetrali.

Di seguito si riportano gli indicatori di compromissione relativi alla specifica campagna:

• Malspam:
  • Allegati “*.wiz”
• Dropurl:
  • hxxp://2by7[.com/shumer
• C2:
  • statcontent[.co
  • img.statcontent[.co
  • content.statcontent[.co
  • www.*.content.statcontent[.co
  • www.*.img.statcontent[.co
  • post.*.img.statcontent[.co
  • post.*.content.statcontent[.co
  • api.*.img.statcontent[.co
  • api.*.content.statcontent[.co
• Hash
  • f3ce17bba51df5f14fa5ac09b9861856bfe6a3bc2646953185ca8edf43dd430e
  • 84cff5e8c4005f6555d834f8d7c2870049faac1e0f77d91077bd156d78059e0b

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index