Campagna di Attacco Email “Scarica il Decreto”

Proto: N100318.

 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una campagna di attacco in corso ai danni di utenze e organizzazioni italiane. Gli attacchi si manifestano attraverso email fraudolente caratterizzate da accurate tematizzazioni di carattere legale con riferimento ad ipotetici decreti, notifiche o atti appositamente preparati per indurre la vittima all’apertura.


Figura 1. Scaricamento archivio a seguito del click sul link all’interno delle email malevole


Figura 2. Contenuto dell’archivio


Le email contengono link a destinazioni web che propongono lo scaricamento di un archivio compresso contenente un file eseguibile, ad esempio “decreto.js”: qualora aperto, il file scarica sull’host vittima un impianto malware della famiglia Gootkit (Trojan/Banking). Le tecniche di attacco rilevate suggeriscono legami con le campagne di attacco osservate da Yoroi a partire da Q1 2018, rif. Early Warning N040118 e N050218.
 
Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi:

  • Malspam:
    • Oggetto:
      • “RELATA DI NOTIFICA ATTO N. 7791534 DEL 23/03/2018”
      • “RELATA DI NOTIFICA ATTO N. 7791534 DEL 23/03/2018”
      • “RELATA DI NOTIFICA DECRETO N° 7728414 DEL 23/03/2018”
      • “RELATA DI NOTIFICA DECRETO N. 559136 DEL 23/03/2018”
      • “RELAZIONE DI NOTIFICA SENTENZA N. 8839635 DEL 22/03/2018”
      • (o similari)
    • Mittenti: dominio di origine “@bybloxgroup].com”
  • Dropurl:
    • 185.61.152[.71
    • antinatalism[.net
    • aquaponics[.net
    • askrecipe[.net
    • aspiresocialagency[.info
    • baltimoregunclub[.net
    • bdoutbound[.org
    • beltreker[.org
    • bestadjustabledumbbellsset[.org
    • bestbuymastercardnow[.net
    • bestdentistnearme[.org
    • bestdogtoys[.net
    • bethdavid[.info
    • bidur[.info
    • bitcoinxbc[.org
    • blackjacktables[.org
    • briandougherty[.org
    • brighterdaystocome[.org
    • bullyatwork[.org
    • burgerplace[.org
    • buytwitterlike[.org
    • bytepay[.org
    • carditone[.info
    • carikerjaan[.info
    • catharses[.net
    • cat-water-fountains[.net
    • cbdforpets[.org
    • chainbits[.org
    • clangem[.org
    • cloudblueprintprogram[.com
    • composingmusic[.info
    • coolpins[.net
    • dailybdtimes[.net
    • danteippolito[.org
    • d-hive[.net
    • dive-watches-guide[.net
    • dominickmorenoforcongress[.org
    • doralschoolofinsurance[.net
    • dormstohomes[.org
    • drashraf[.info
    • dreamsmapper[.net
    • eduloans[.info
    • elgiganten30[.info
    • energycheap[.net
    • faithleadersintl[.org
    • familydentistnearme[.org
    • fartmentum[.org
    • felivicproofreading[.net
    • firefly420[.net
    • fishwives[.org
    • foodsafetywrac[.info
    • freaksofthenight[.net
    • friarslantern[.net
    • fxyp[.info
    • geofaco[.info
    • gnomesasylum[.org
    • haccp-certification[.info
    • haccp-plan[.info
    • hajjandharamin[.info
    • hauntedutah[.org
    • healthbd24[.net
    • heartsongs[.org
    • hesspres[.info
    • hitechind[.info
    • hollamailiin[.stream
    • homeschool101[.net
    • hosanna-fellowship[.org
    • howtomakehimyoursforever[.info
    • iamaninja[.org
    • icoosta[.org
    • iflibrary[.org
    • imaginenews[.org
    • imodsdownload[.info
    • inasentence[.org
    • indosport99[.org
    • internetoftokens[.org
    • jimmasdea[.org
    • juanpress[.org
    • judibanteng[.org
    • khaimovich[.org
    • knowtechz[.info
    • kota168[.info
    • ledealdujour[.net
    • livenewstoday[.info
    • location-lostmode[.info
    • logiaigualdadhn[.org
    • macausakong[.net
    • maronbiz[.info
    • midwestconservatory[.org
    • militarypropertymanagement[.org
    • mindonesia[.org
    • mircoin[.org
    • mobileroyalty[.info
    • mondaynight-football[.org
    • mosquitonettings[.net
    • movie2017[.org
    • moviedrama[.org
    • mvpmail[.org
    • mybusinessautoinfosource[.info
    • myhrcvs[.org
    • needfirecompany[.org
    • nelnetloans[.info
    • nocfe[.org
    • norwaynews[.org
    • notisota[.info
    • onlinetaruhan[.info
    • owpk[.net
    • pagid[.org
    • piecebox[.org
    • pinkyandproppy[.net
    • pixeltutoring[.info
    • ponymud[.org
    • pragmaticliberals[.org
    • premiumpromorewards[.info
    • rarepepefoundation[.org
    • robertsmediation[.org
    • roofingcalculator[.info
    • server191[.org
    • situsadubanteng[.net
    • skyriver[.org
    • socialmagicmarketing[.org
    • spesifikasidanharga[.net
    • startacommunityproject[.org
    • stateoforigin2017live[.info
    • sunmoney[.info
    • supercopadefinallive[.org
    • tecnetcom[.net
    • thegsma[.info
    • thekidclub[.org
    • titanbase[.net
    • titanbase[.org
    • tmarkgibson[.net
    • topandroidwall[.info
    • topcryptocurrencies[.info
    • treba[.info
    • ugandagreen[.info
    • urologycourses[.net
    • us-opengolf[.org
    • viralrecipes[.net
    • wellness-savetnik[.info
    • wholedom[.org
    • williamsonrindgehole[.org
    • worldcomjapan[.net
    • wpcodeninja[.info
    • yapakistan[.org
    • ywdouglas[.org
    • zonamusicmp3[.net
    • zoomgirls[.info
    • 176.10[.125.27
    • worldmakerhouse[.bellaporti[.com
    • jalalabbad.relationshipwithlove[.com
    • edmantongalhazarment.relationshipwithlove[.com
    • it.relationshipwithlove[.com
    • jollilolly.yourdoctorspeaking[.org
    • http:// moviedrama[.org/scarica_il_decreto.php
    • http:// inasentence[.org/documenti-avvocatoi-2018-03.zip
    • http:// haccp-plan[.info/scarica_il_decreto.php
    • http:// worldcomjapan[.net/scarica_il_decreto.php
    • http:// topcryptocurrencies[.info/scarica_il_decreto.php
    • http:// inasentence[.org/scarica_il_decreto.php
    • http:// us-opengolf[.org/scarica_il_decreto.php
    • http:// piecebox.[org/scarica_il_decreto.php
    • http:// mosquitonettings[.net/scarica_il_decreto.php
    • http:// familydentistnearme[.org/scarica_il_decreto.php
    • http:// faithleadersintl[.org/scarica_il_decreto.php
    • http:// nocfe[.org/scarica_il_decreto.php
    • http:// blackjacktables[.org/scarica_il_decreto.php
    • http:// antinatalism[.net/scarica_il_decreto.php
    • http:// worldmakerhouse[.bellaporti.com /NOTIFICA_Sentenza_Numero8375687356/892687256482654.pdf
  • C2:
    • 193.70.91[.12
    • ok.summersholland[.net
  • Hash:
    • cf305d43ce1059fc72d0989d59be00355fbe2c0a7177078d1c6a6cc8013a7d7e decreto.zip
    • 856fa644688cdd417ca945988cbbb5f3def0f5b361bbe234611d83eeceff502c  decreto.js
    • 4024afd06b08e2a25b7a76f3ff8460c35749067c6d2f843795b13d48517cfb7a  documenti-avvocatoi-2018-03.js
    • 442b4968fb719f3c8d9f644042d444491845dbabf48b4b2a4f66549b4e35ab05  34395838.exe


Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index