Campagna di Attacco con Email Fraudolente “Richiesta” 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di nuovi attacchi mirati ad organizzazioni italiane caratterizzati da email malevole appositamente create. La peculiarità della campagna risiede nella personalizzazione dei messaggi fraudolenti all'interno dei quali vengono utilizzati riferimenti all'organizzazione obiettivo o riferimenti all'organizzazione mittente. Tale circostanza può aumentare l’efficacia dell’attacco in quanto le email possono apparire maggiormente contestualizzate.

I messaggi di posta analizzati contengono documenti Office armati di macro malevole in grado di scaricare ed eseguire file “.hta” sul sistema i quali, successivamente, infettano la vittima con malware legato alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire accesso backdoor all’host, intercettare digitazioni effettuate su tastiera ed attività utente.

Figura 1. Apertura del documento malevolo presentato all'utente

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Oggetto:
    • “Re: Letto: Auguri Pasqua <NOME-ORG-MITTENTE>”
    • “Programma assicurativo <NOME-ORG-DESTINATARIO>”
  • Allegato:
    • “Richiesta.doc”
    • “BIG_Richiesta.doc” (o altre variazioni di prefisso)
• DropUrl:
  • 66.55.129[.196
  • auwhguahsdusahdsd[.com
  • hxxp:// auwhguahsdusahdsd[.com/REX/freddie.php?l=itnerd
  • hxxp:// auwhguahsdusahdsd[.com/REX/slick.php?utma=itnerc
  • hxxp:// auwhguahsdusahdsd[.com/NOC/itnera.class
  • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerb.class
  • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerc.class
  • hxxp:// auwhguahsdusahdsd[.com/NOC/itnerd.class
• C2 (https):
  • 206.221.181[.251
  • bungisdiqndwijgnqwdok[.net
  • 66.55.129[.199
  • fwqfqkghsdjefgguhnasd[.net
  • omanghqhernafhvzhzxc[.com
• Hash:
  • 100d5f69d62457f56ac013dfeb360c7a7fcb552f7aa8b9e0991420a1e0775057 doc
  • e23dbab02d02b46b380dcbb2f56cc6220d0449fde2075bfffabbe8588a25e2e9 doc
  • b618538a3e54a16b6d2b688202cb7866be5748bc57e7ac022aaa4d7cb9a61363 doc
  • 8b35505d4ad5f645f3130f89d2ebbaf39c74682cb3acee2f5a4a139cea2d5e20 hta
  • 0cbe0ac5a400dfc5bf5504805b8529ba010b2df702558693811ae4aa64202271 exe
  • c552cab5bdcbdadf35e49012792a81b757700b7d991a69a78f591277f1bf2abc exe

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index