Campagna di Attacco Emotet+Ursnif

 Proto: N011019.

Con la presente Yoroi desidera informarLa riguardo alla scoperta di una pericolosa campagna di attacco in corso ai danni di utenti ed Aziende italiane. I messaggi di posta fraudolenti invitano le vittime all’apertura di documenti capaci di scaricare e mettere in esecuzione un impianto della famiglia Emotet (TH-168). A seguito dell’infezione, è stata osservata inoltre l’installazione di ulteriore malware della famiglia Ursnif: minaccia in grado di intercettare digitazioni da tastiera, trafugare le password salvate ed alterare la navigazione web utente.

Figura. Esempio documento malevolo

Di seguito si riportano gli indicatori di compromissione identificati durante le analisi condotte:

  • Malspam:
    • Allegati:
      • MESSAGIO-2019.doc
      • FILE-2019.doc
      • MESSAGIO-0110-102019.doc
      • (o varianti)
    • Oggetto:
      • richiesta
      • Offerta per
      • Rettifica per
      • Rettifica Informazioni – 
      • (o varianti)
  • Dropurl:
    • hxxp://sysmobi[.com/wp-admin/k7epo312/
    • hxxp://panelfiberton[.com/wp-admin/f942/
    • hxxps://transporteselfenix[.com/cgi-bin/s2qw2ui7/
    • hxxps://qirqle[.com/wp-includes/zy2f473/
    • hxxp://aylaspa[.com/8yntna/64uc1/
  • C2 (emotet):
    • 86.1.41[.111:443
    • 189.136.50[.227:443
    • 80.240.141.[141:7080
    • 185.187.198[.10:8080
    • 178.249.187[.151:8080
    • 185.86.148[.222:8080
    • 187.199.158[226:7080
    • 212.71.237.[140:8080
    • 91.83.93[.124:7080
    • 190.230.60[.129:80
    • 123.168.4[.66:22
    • 77.55.211[.77:8080
    • 139.5.237[.27:443
    • 50.28.51[.143:8080
    • 189.166.68[.89:443
    • 88.250.223.[190:8080
    • 81.169.140[.14:443
    • 187.188.166.[192:80
    • 46.163.144[.228:80
    • 181.36.42[.205:443
    • 184.69.214.[94:20
    • 23.92.22[.225:7080
    • 170.84.133[.72:8443
    • 46.29.183[.211:8080
    • 79.143.182[.254:8080
    • 190.1.37[.125:443
    • 190.85.152.[186:8080
    • 189.187.141[.15:50000
    • 62.75.160[178:8080
    • 46.28.111.[142:7080
    • 178.79.163.[131:8080
    • 51.15.8.[192:8080
    • 217.199.175[.216:8080
    • 181.29.101[.13:8080
    • 77.245.101.[134:8080
    • 119.159.150[.176:443
    • 201.183.247[.58:443
    • 109.104.79.[48:8080
    • 181.123.0[.125:80
    • 62.75.143.[100:7080
    • 201.184.[65.229:80
    • 46.41.151[.103:8080
    • 186.83.[133.253:8080
    • 5.77.13.[70:80
    • 190.158[.19.141:80
    • 190.104[.253.234:990
    • 159.203.[204.126:8080
    • 186.0.95[.172:80
    • 170.84.[133.72:7080
    • 200.57.102.[71:8443
    • 46.21.105.[59:8080
    • 201.163[.74.202:443
    • 86.42.166[.147:80
    • 71.244.60[.230:7080
    • 87.106.77[.40:7080
    • 183.82.97.25:80
    • 190.221.50.[210:8080
    • 151.80.142.[33:80
    • 149.62.173[.247:8080
    • 190.38.14[.52:80
    • 119.59.124.[163:8080
    • 71.244.60.[231:7080
    • 114.79.134.[129:443
    • 203.25.159[.3:8080
    • 91.205.215[.57:7080
    • 138.68.106.[4:7080
    • 181.188.[149.[134:80
    • 200.58.[171.51:80
    • 109.169.86.[13:8080
    • 113.170.[129.113:443
    • 80.85.87.[122:8080
    • 217.199[.160.224:8080
    • 5.196.35[.138:7080
    • 89.188.124.[145:443
    • 119.92.51.[40:8080
    • 190.230.60.[129:8080
    • 187.235.239[.214:8080
  • C2 (ursnif)
    • alister-mathmatics[.club
    • 129.226.117[.92
  • Hash
    • ea5c2320f12468ea939473e037f53e4e14a674820f36b3e86e9afa58bf63efef
    • af45df57b32c426d3cdf162f54ac7bf17537dfc27fbcb9371a0f7ccc7067b47a
    • 5eb9b4639d55695ddb3425e5157e1f3a354ecf957ad9d36bd8a60704f5e11cec
    • 1715e5d32d6b7977897abc9b5f8479b8fc7ed8fca058b53ac42167984c65d9fb
    • 11fb7351e6605eca5c8aa32a82bd261ad4e4c6612fea4f92e5391c077af59fe6
    • d560912b23c6a18becf1cb91a6cfa312c222c628ef73ec7e0e604fd389caa45b

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index