Campagna di Attacco “Relata di notifica atto”
10/09/2018
Proto: N031018.
Con la presente Yoroi desidera informarLa relativamente ad una campagna di attacco che negli ultimi giorni sta mirando a compromettere utenze di Organizzazioni italiane. Sono stati intercettati messaggi di posta fraudolenti che simulano l’invio di notifiche di atti giudiziari contenenti link a destinazioni in grado di indurre le utenze allo scaricamento ed alla esecuzione di malware.
Figura 1. Messaggio di posta fraudolento.
Differentemente dalle campagne analizzate in precedenza, i collegamenti esterni inseriti nel corpo del messaggio puntano ad un file pdf ospitato sulla piattaforma “Google Drive”, all'interno del quale è presente un ulteriore link per lo scaricamento di un archivio compresso “Nuovo documento 1.zip” contenente script vbs malevoli in grado di installare varianti malware della famiglia Trojan/Ursnif. In tale maniera gli attaccanti riescono a bypassare controlli di sicurezza tradizionali sulle comunicazioni in ingresso.
Figura 2. Documento malevolo ospitato sulla piattaforma Google Drive
Di seguito si riportano gli indicatori di compromissione individuati:
- Malspam:
- Relata di notifica atto N.9491385473 Del 11/07/18 (o varianti)
- Dropurl:
- hxxps:// drive .google[.com/file/d/14INdiQU0T4ekU5dVQdm7zGhTjnaxlakB/view
- hxxp:// burypo.gihealthrecords[.info/jkfwefbgdkj=kshlw?pbba=2
- hxxp:// burypo.giondemanduniversity[.com/pagjfut54.php
- C2 (ursnif):
- load.kapswholesale[.com
- pool.jfklandscape[.com
- hxxp:// 93.179.68[.182/images/
- Hash:
- 7ace3d42ef11b44ac0ed688b662722febf8d272cf490e66504d97ee362f6411c vbs
- 3de58246d88d6bf3b2e042098caa14dccccab39c37e78888ed33bc4016caae54 zip
- 7a4d40b9baf389d09eee6e02af126477bf8b24afcbea79a179b45121b7a6210b exe
Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
