Campagna di Attacco “Scarica il documento”

Proto: N020319.

Con la presente Yoroi desidera informarLa relativamente al recente rilievo di una nuova ondata di attacchi mirata al panorama cibernetico italiano, numerose email fraudolente contenenti link malevoli sono state intercettate negli ultimi giorni. I messaggi tentano di simulare comunicazioni provenienti da avvocati i quali invitano allo scaricamento di copie digitali di documenti legali e sentenze.

Le email in questione utilizzano tecniche di evasione per evitare il blocco da parte dei sistemi antispam, come l’inserimenti di testo invisibile e l’abuso della piattaforma ad alta reputazione “Google Drive” per la visualizzazione dei documenti malevoli, all’interno dei quali sono presenti ulteriori link alle infrastrutture di distribuzione di malware della famiglia Ursnif, capace di catturare ed esfiltrare credenziali, intercettare sessioni web e digitazioni, fornire accesso backdoor agli host infetti.

Figura. Documento Malevolo puntato dalle email fraudolenta

Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Malspam:
    • Oggetto:
      • Relata di notifica atto N? <NUM> del 14.02.2019
  • Dropurl (Documento):
    • hxxps:// drive.google[.com/file/d/1HSZG4ueHqId6TuisUmaTVFZWW_EZjpCm/view
  • Dropurl :
    • hxxp:// dod.suzienow[.com /jogghfptu=w?bqa=3
    • hxxp:// dod.suze10n1[.com /pagjory63.php
    • dod[.suze10n1[.com
    • dod[.suzienow[.com
    • munosi[.acnepatient[.com
    • munosi[.addpatient[.com
    • munosi[.baptiststay[.com
    • munosi[.bharatbioscience[.in
    • munosi[.buddhiststay[.com
    • munosi[.catsdogsbabies[.com
    • munosi[.ihavedryskin[.com
    • munosi[.irritablebowelsyndromepatient[.com
    • munosi[.jacksonvillerentalcommunity[.com
    • munosi[.lupusinfotech[.com
    • munosi[.mepex[.in
    • ortusi[.adderallpatient[.com
    • ortusi[.albertmuzaurieta[.net
    • ortusi[.allergypatient[.net
    • ortusi[.civilexpo[.in
    • ortusi[.goodappledigital[.com
    • ortusi[.icesurat[.org
    • ortusi[.insomniapatient[.com
    • solini[.albertmuzaurieta[.com
    • solini[.allergypatient[.net
    • solini[.anxietypatient[.com
    • solini[.bharatbioscience[.in
    • solini[.catholicstay[.com
    • solini[.codeconcepts[.co
    • solini[.headachepatient[.com
    • solini[.icesurat[.org
    • sortini[.albertmuzaurieta[.net
    • sortini[.bharatbioscience[.in
    • sortini[.buddhiststay[.com
    • sortini[.catholicstay[.com
    • sortini[.catsdogsbabies[.com
    • sortini[.codeconcepts[.in
    • sortini[.goodappledigital[.com
    • sortini[.irritablebowelsyndromepatient[.com
    • sortini[.jorgetonarely[.com
    • sortini[.lupusinfotech[.com
    • sutori[.allergypatient[.net
    • sutori[.bharatbioscience[.in
    • sutori[.catsdogsbaby[.com
    • sutori[.codeconcepts[.co
    • sutori[.codeconcepts[.in
    • sutori[.icesurat[.org
    • sutori[.ihavedryskin[.com
    • sutori[.jaipurmurtibhandar[.in
    • sutori[.lupusinfotech[.com
    • sutori[.mepex[.in
    • sutori[.pichvaitraditionandbeyond[.com
  • C2 (ursnif):
    • link.kunstsignal[.com
    • hccp:// link.kunstsignal[.com/images/
    • 51.255.13[.24
  • Hash:
    • 128621c371a3313544ee66b60bfcad0ee707b8d46d62d762d2472a623153765c vbs
    • 0f1d4b5552a77d69250383cdfb59a07319b4ff337831dd6ac1171c925d164871 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index