
Ondate di Email malevole “Fattura”
02/27/2018
Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di nuovi tentativi di attacco ai danni di utenze italiane per via di varianti malware della famiglia ZeuS/Panda. Sono state infatti rilevate numerose email malevole a tema fatturazione contenenti documenti Excel in grado di compromettere la macchina vittima installando la minaccia nel sistema. A seguito dell'avvenuta infezione il malware è in grado di fornire accesso remoto ai criminali, registrare digitazioni ed intercettare credenziali inserite dall'utente durante la navigazione.
Figura 1. Esempio documento Excel malevolo rilevato
Siccome al momento la copertura dei motori antivirus pare non essere ottimale (inferiore a 12%, fonte:VT), Yoroi suggerisce di prestare attenzione ed avvisare le Vostre utenze riguardo ai rischi legati alla potenziale ricezione di email fraudolente di questa tipologia. Di seguito si riportano gli indicatori di compromissione individuati:
- Malspam:
- Oggetto: “Fattura <2CIFRE>” , “bonifico fattura”, “fatt provv n.<2CIFRE>”, “R: fattura”, “Fattura nuovi estremi bancari per bonifico”
- Allegato: “fattura_print_<2CIFRE>_(<NOMEUTENTE>).xls” , “documento_<2CIFRE>_info.xls”
- Mittenti: *@libero.it , *@outlook.it, *@fastwebnet.it, *@tin.it, *@tim.it, *@virgilio.it, *@icloud.com, *@pec.it, *@hotmail.it, *@legalmail.it, *@inwind.it, *@istruzione.it, *@lqijv.191.it , *@istruzione.it (possibili account di posta terzi compromessi)
- Dropurl:
- https:// freeflysky[.tk/rens
- C2 :
- 54[.37.104.]104
- https:// F2D5CAB27447].tk/1U62AH4Ag/Z2/Jf/N4/oGrAt/j/Uz/0-/I/Smmsg
- https:// F2D5CAB27447].tk/keylogger.bin
- https:// F2D5CAB27447].tk/grabber.bin
- https:// F2D5CAB27447].tk/backsocks.bin
- https:// F2D5CAB27447].tk/vnc64.bin
- https:// F2D5CAB27447].tk/vnc32.bin
- https:// F2D5CAB27447].tk/webinjects_1new.dat
- Exfiltration:
- https ://elementaleios[.win/alko/in/pp/p.php
- https ://elementaleios[.win/kenta/in/bnl/bnl.php
- https ://elementaleios[.win/kenta/in/bnl/rp.php
- https ://elementaleios[.win/kenta/in/bpergroup/bpe.php
- https ://elementaleios[.win/kenta/in/businesswaybnl/bway.php
- https ://elementaleios[.win/kenta/in/businesswaybnl/rp.php
- https ://elementaleios[.win/kenta/in/cbibanking/x_cbi.php
- https ://elementaleios[.win/kenta/in/cedacri/ceda.php
- https ://elementaleios[.win/kenta/in/popso/pop.php
- https ://elementaleios[.win/kenta/in/poste/pin.php
- https ://elementaleios[.win/kenta/in/quercia/db.php
- https ://elementaleios[.win/kenta/in/relaxbanking/rel.php
- https ://elementaleios[.win/kenta/in/tecmarket/tec.php
- https ://elementaleios[.win/seco/in/csebo/cs_login.php
- https ://elementaleios[.win/seco/in/csebo/cs.php
- https ://elementaleios[.win/seco/in/csebo/online.php
- https ://elementaleios[.win/seco/in/relaxbanking/rwin/kenta/in/cedacri/ceda_p.php
- https ://elementaleios[.win/kenta/in/credem/cr2.php
- https ://elementaleios[.win/kenta/in/credem/cr.php
- https ://elementaleios[.win/kenta/in/inbank/com.php
- https ://elementaleios[.win/kenta/in/intesasanpaolo_pers_old/int_p_old.php
- https ://elementaleios[.win/kenta/in/intesasanpaolo/repl.php
- https ://elementaleios[.win/kenta/in/intesasanpaolo/spo.php
- https ://elementaleios[.win/kenta/in/mps/digital_mps.php
- https ://elementaleios[.win/kenta/in/mps/el_main.php
- https: //gemendoloma[.top/e.php
- Hash:
- 3e0296f237372b0945203262f257a9111128d5a0057e26fc900e85915c97385
- e2fb616c8f0695d878865f5ec16eae8669c8d94b4cc9f5e0c9340c754734ce5b2
- f744d0a1b7f756872fde69b5d90ded89ecfce70384265cd8610e77d59f3565a8
A questo proposito, Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index