Campagna di Attacco Nemucod

 

Proto: N070617.

Con la presente Yoroi desidera informarLa riguardo al recente rilievo di molteplici tentativi di attacco ai danni di numerose organizzazioni italiane. Le ondate di attacco intercettate sono caratterizzate da invii di email fraudolente al fine di installare bot malevoli all’interno delle macchine vittima dell’attacco.

I messaggi email malevoli intercettati hanno le seguenti caratteristiche:

  • Oggetto: “FATTURA NO. 480 del 23.06.17”  (rilevate anche varianti con numeri data differenti)
  • Allegato: “Fatt495860324.zip / fatt.495860324.js” , in generale “Fatt<9_numeri>.zip”
  • Mittenti: La maggior parte delle email proviene da account compromessi legati a domini @libero.it, @virgilio.it, @aliceposta.it, @alice.it 

Gli allegati contenuti all’interno dei messaggi di posta fraudolenti sono in grado attivare funzionalità malevole arbitrarie e di scaricare ed eseguire ulteriori malware a seguito di particolari necessità da parte del gruppo cyber-criminale che sta operando gli attacchi in corso. Il malware rilevato appartiene alla famiglia di Trojan/Downloader – JS/Nemucod ed ha elementi in comune con ulteriori ondate di attacco osservate nel maggio 2017 (e.g. email “Saldo fattura del 10_05_2017”). Al momento il malware non risulta estensivamente rilevato dalle soluzioni anti-virus/anti-malware, per tale ragione Yoroi consiglia di sensibilizzare i vostri utenti relativamente all’apertura di contenuti email inattesi.

vt_stage1.png
Figura 1. Copertura antivirus del file malevolo in allegato alle mail fraudolente

Screenshot from 2017-06-27 13:02:50.png
Figura 2. Copertura antivirus secondo stage di esecuzione del malware

Di seguito si riportano i principali indicatori di compromissione rilevati:

www.associazionegiovaniin[.it /r6.php?group=mc
www.icom-srl.]com/r6.php?group=mc
www.perauto.]net/r6.php?group=mc
www.server1800[.com/r6.php?group=mc
142.91.104.]188/r6.php?group=mc 
www.eurobiosspa[.it/r6.php?group=mc

7ce43b4c48a3406bffd92b27014981394b8a9be43f63bf3d7e4213007fe2d169
23fafef1f0d807a025f49ddac2584f4a956aedf2a68045762e7f36125153cb4d
57cb75cf9c818f97899af198f20067574a6b87f5f717708ae3d81d558880770b
5a83b030f3ea12bc76f52b2325882aeae24bd15366a0540fa58051701b32e0fd
763caf6d2ea29e5ad7d06a5054bac50181bdeca00a605c28a76968034c292a0b

Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index