Campagna di Attacco “Relata di notifica atto”

Proto: N031018.

Con la presente Yoroi desidera informarLa relativamente ad una campagna di attacco che negli ultimi giorni sta mirando a compromettere utenze di Organizzazioni italiane. Sono stati intercettati messaggi di posta fraudolenti che simulano l’invio di notifiche di atti giudiziari contenenti link a destinazioni in grado di indurre le utenze allo scaricamento ed alla esecuzione di malware.

Figura 1. Messaggio di posta fraudolento.

Differentemente dalle campagne analizzate in precedenza, i collegamenti esterni inseriti nel corpo del messaggio puntano ad un file pdf ospitato sulla piattaforma “Google Drive”, all’interno del quale è presente un ulteriore link per lo scaricamento di un archivio compresso “Nuovo documento 1.zip” contenente script vbs malevoli in grado di installare varianti malware della famiglia Trojan/Ursnif. In tale maniera gli attaccanti riescono a bypassare controlli di sicurezza tradizionali sulle comunicazioni in ingresso.

 

Figura 2. Documento malevolo ospitato sulla piattaforma Google Drive

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Relata di notifica atto N.9491385473 Del 11/07/18 (o varianti)
  • Dropurl:
    • hxxps:// drive .google[.com/file/d/14INdiQU0T4ekU5dVQdm7zGhTjnaxlakB/view
    • hxxp:// burypo.gihealthrecords[.info/jkfwefbgdkj=kshlw?pbba=2
    • hxxp:// burypo.giondemanduniversity[.com/pagjfut54.php
  • C2 (ursnif):
    • load.kapswholesale[.com
    • pool.jfklandscape[.com
    • hxxp:// 93.179.68[.182/images/
  • Hash:
    • 7ace3d42ef11b44ac0ed688b662722febf8d272cf490e66504d97ee362f6411c vbs
    • 3de58246d88d6bf3b2e042098caa14dccccab39c37e78888ed33bc4016caae54 zip
    • 7a4d40b9baf389d09eee6e02af126477bf8b24afcbea79a179b45121b7a6210b exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

One thought on “Campagna di Attacco “Relata di notifica atto””

Comments are closed.