Campagna di attacco tematizzata “Ministero dell’Economia e delle Finanze”

 

Proto: N040118.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una importante campagna di attacco ai danni di molteplici Organizzazioni italiane. Dalla giornata di venerdì 19 Gennaio 2018 Yoroi ha registrato email fraudolente volte ad ingannare le vittime simulando comunicazioni provenienti dal “Ministero dell’Economia e delle Finanze”.

Le email malevole analizzate contengono link capaci di evadere parte dei controlli di sicurezza antispam. A seguito dell’apertura del collegamento, vengono scaricati sulla macchina ulteriori componenti allo scopo di infettare l’host con un impianto malware riconducibile alla famiglia Trojan/Banking/Gootkit in grado di rimanere silente all’interno delle macchine vittima. Il flusso di infezione rilevato è composto dalle seguenti fasi:

  • Invio email fraudolente di buona fattura contenenti un link ad alta reputazione (redirector benevolo, e.g. mailchimp)
  • Una volta aperto il link l’utente viene rediretto ad una pagina controllata dall’attaccante ed un primo stage malevolo viene eseguito (script js)
  • Un ulteriore componente con capacità evasive viene scaricato e lanciato in modalità silente (eseguibile)
  • L’impianto malware viene scaricato da un ulteriore server di comando ed eseguito.

Viste le caratteristiche della campagna rilevata, esiste la possibilità che la campagna di attacco individuata venga espansa con l’ausilio di ulteriori tematizzazioni mirate all’ambito italiano. Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto “Codici Tributo Acconti” , “F24 ACCONTI-Codice Tributo 4034”
    • Mittente “Ministero dell’Economia e delle Finanze” , molteplici indirizzi fittizi (e.g. info@amber-kate.com info@fallriverproductions.com)
  • Dropurl (https, url  /themes5.php e /images4.php ):
    • 239outdoors [ .com
    • scottishwindowsolutions ] .com
    • cloudblueprintprogram [.com
    • bentlabel [ .com
    • topsantorinitours [ .com
    • expungementstennessee [ .com
    • grkisland [ .com
    • microtiasurgery [ .com
    • niarhoslondon [ .com
    • wall-runners [ .com
    • conticellolaw [ .com
    • progunjobs [ .com
    • zefeed [ .com
    • muiienweg [ .com
    • home-sphere [ .com
    • couplesdoingbusiness [ .com
    • snotterkind [ .com
    • thegildedwren [ .com
    • equinnex [ .com
    • ericandchrissy [ .com
    • jdkanyuk [ .com
    • flaveme [ .com
    • z1logistics [ .com
    • strangerthanchristmas [ .com
    • silkygames [ .com
    • synchronr [ .com
    • rocketpak [ .com
    • evelynleekley [ .com
    • kineloveclips [ .com
    • healingfoodconsulting [ .com
    • thejourneytogodsheart [ .com
    • cnchalftone [ .com
    • dvoper [ .com
    • cdvdautomator [ .com
    • comedyyall [ .com
    • hertzsynergy [ .com
    • kylesinger [ .com
    • menshoesonlinestore [ .com
    • vovachka [ .com
    • zayantetinyhomes [ .com
    • jdkanyuk [ .com
    • https: [ //239outdoors [ .com /themes5.php
    • https: [ //cloudblueprintprogram [ .com/images/documento.png?x1892
    • https: [ //cloudblueprintprogram [ .com/images4.php
    • 185.61. [ 152.71
  • C2 (https):
    • ns15.dreamsinthesun [ .com
    • bdi2.nomadicdecorator [ .com
    • elis.k9redemptionrescue [ .com
    • api.hailstorm360 [ .com
    • cerera.survivalbid [ .com
    • mark.k9redemptionrescue [ .org
    • nsc.dayswithsunrays [ .com
    • at.moonbeammagic [ .com
    • ssl.vci-cfo [ .com
    • sip3.propertiesandprojects [ .com
    • host1.jodiray [ .com
    • note.lawrencechoy [ .com
    • 185.44. [ 105.97
  • Persistenza:
    • %TEMP%1t.exe
    • %TEMP%1t.bin
    • %TEMP%1t.inf
    • %TEMP%<1-9CIFRE>.exe (es. %TEMP%40616857.exe)

Le indagini svolte hanno permesso di reperire una lista di ip colpiti dalla campagna di attacco, tale lista verrà resa disponibile attraverso canali dedicati alle organizzazioni CERT interessate (punto di contatto cert@yoroi.company). 

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index