Campagna di Attacco Gootkit

 

Campagna di Attacco Gootkit

Proto: N040918.

Con la presente Yoroi desidera informarLa relativamente al rilievo di una nuova campagna di attacco rivolta a molteplici Organizzazioni ed Aziende italiane. I tentativi di compromissione sono caratterizzati dall’invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione.

All’interno delle email recapitate è presente un collegamento ad un archivio compresso “Nuova immagine bitmap (2).zip” contenente uno script eseguibile Javascript malevolo. Una volta eseguito, lo script è in grado di ingannare l’utente simulando l’apertura di un reale documento pdf, tuttavia nel frattempo procede all’installazione di malware della famiglia Trojan/Gootkit: minaccia in grado di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.



Figura 1.  Porzioni di codice dell’impianto Gootkit estratti in sede di analisi


Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto: “L’ordine N. YT <CIFRE> Spedito A Domicilio”
  • Dropurl (zip):
    • hxxp:// followjerry[.com/FilesDownload.php?id_msg=d3i8HVJuMuXGTR4B
    • hxxp:// annakennedy.]co.uk/documentload.php?jwh=3Dt4bR1tn
    • hxxp:// iwantmylifeback.]co.uk/documentload.php?jwh=3DK1irEDC
  • Dropurl (exe):
    • hxxps:// della.themeshigh[.com/crowded/first.sip
    • hxxps:// scopri.wpeverimport[.com/great.lib
    • hhackzgjnjfwbuttuzjo[.com
    • betjzoqxlezo[.com
  • Decoy url (pdf):
    • hxxps:// www.ordineavvocatibelluno[.com/upload/news/circolare%20software%20formazione%202018.pdf
  • C2 (Gootkit):
    • 176.10.125[.51
    • bannerskeepers[.com
    • eldak.brucewjohnson[.net
    • ch.digitalandanalog[.co[.in
  • Hash:
    • 7e3cfd03d5e97a01dd9c613ba37803cb78d88a86a7e69101618121b9db418bed  zip
    • f0d0099cd0d82a14cd0c1986fa6f22af3709e0db357c3c70eb33974f3ced3773  js
    • 45eecfcbc8a65f4e3bdf377e3d68a193035351c77dc33fc2a7e5439ada78c8db  exe
    • 7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index