Campagna di Attacco “Nuovo Documento”

Proto: N031119.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi ai danni di utenti ed Aziende italiane. Gli attacchi si manifestano attraverso messaggi di posta fraudolenti su tematiche amministrative di fatturazione, i quali invitano le vittime ad aprire link remoti volti allo scaricamento ed all’installazione di malware della famiglia Ursnif: capaci di trafugare credenziali, intercettare traffico di rete ed installare ulteriore malware. 

La campagna risulta particolarmente pericolosa in quanto la variante malware utilizzata è firmata digitalmente con certificati crittografici validi. La firma digitale apposta sull’eseguibile rende la minaccia più insidiosa in quanto potrebbe essere ignorata da alcuni sistemi perimetrali ed agenti antivirus.

Figura. Firma Digitale del Malware

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi condotte:

  • Malspam:
    • Oggetto:
      • Fattura n. <NUM> del 29.09.19
  • Dropurl (/paghfjug43.php):
    • hxxp:// myegy[.club/glvvl?hhfw=15530
    • hxxp:// hivechannel3[.com/nwyu?wsr=6499
    • hxxp:// thefork.[info/ejczb?ojtj=218646
    • hxxp:// pizzaonenj[.com/paghfjug43.php
    • hivechannel3[.com
    • myegy.[club
    • thefork.[info
    • pizzaonenj[.com
    • realestatewoodinville.[net
    • bethelucc-ontario[.org
    • boathandlingjack.[com
    • inlandempiresymphony.[com
    • crclasertechnologies[.com
    • promoteyourico.[com
    • crccoating.[com
    • embroiderydigitizing.[miami
    • woodinvillewa[.com
    • 2short2waste[.org
    • websitemaestra[.com
    • crclaserfab[.com
    • samuelbillett.[com
    • thenuttyheads[.us
    • bethelarts[.org
    • uccontario[.com
    • composerforfilms.[com
    • homesredmond[.com
  • C2 (ursnif): 
    • hxxps:// teablitziloilo[.xyz/index.htm
    • teablitziloilo[.xyz
  • Hash:
    • d106c6afba88309f3dac8976e04274898b899d494262f3a182a502b5625860a2
    • dfcc6b953c6ee67a6f29c0e7050fc953ad0b950e07e6e6370a6631863131f1c2

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index