Logo
Hamburger Menu Icon
Yoroi Background

Campagna di Attacco mirata ad Organizzazioni Italiane 

06/14/2018

 

Proto: N040618.

Con la presente Yoroi desidera informarLa riguardo al rilevamento una campagna di attacco in corso ai danni di Organizzazioni italiane. Gli attacchi si manifestano tramite l’invio di email fraudolente contenenti documenti Office malevoli in grado di infettare gli host vittima con varianti malware Ursnif, in grado di trafugare dati, fornire un accesso backdoor ed intercettare attività utente.

In base alle evidenze raccolte risulta possibile che i messaggi malevoli utilizzati dagli attaccanti siano basati su comunicazioni pregresse con fornitori, clienti o terze parti in generale, con le quali le utenze bersaglio possono aver intrattenuto scambi di corrispondenza. Risulta dunque possibile che parte degli oggetti, o parti di contenuto delle email malevole, risultino familiari agli occhi delle vittime. In dettaglio, i messaggi malevoli si presentano sotto forma di risposte fittizie a potenziali scambi email passati, includendo al loro interno il documento office malevolo nominato “<NOME_O_ALIAS>_Richiesta.doc”.


Figura 1. Documento malevolo allegato all'interno delle email


Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Malspam:
    • Allegato:
      • <NOME_O_ALIAS>_Richiesta.doc
      • Richiesta.doc
  • Dropurl:
    • opoasdhqnjwn[.com
    • yatsdhqbwe[.com
    • vqubwduhbsd[.com
    • xcbxccxzc[.com
    • gsdfhjdgfdg[.com
    • hkjfhkjghgh[.com
    • vmnbcvmbnc[.com
    • fqiwbdqwhdb[.com
    • http:// opoasdhqnjwn[.com/cachedmajsoea/index.php?e=ggge
    • http:// opoasdhqnjwn[.com/lipomargara/ggge.class
  • Components:
    • http ://86.105.1[.135/italy.rar
  • C2:
    • dqwoudqwoudnq[.com
    • duqdhquwidasd[.com
  • Hash:
    • 33a25af53a9fbce419d9408052c505225e3de0d3673b14775d47b9a95513666d doc
    • 212d2ce18964d507a6fe50ee7c33e5ec4fc6b44dedcc9463d5f6e2581e48e4c3 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram