Campagna di Attacco tramite PEC

Proto: N040119.

Con la presente Yoroi desidera informarLa relativamente ad una nuova ondata di attacchi rivolti ad Organizzazioni e utenti italiani. Le email fraudolente osservate sono dirette verso caselle di Posta Elettronica Certificata ed invitano l’utente ad aprire archivi compressi allegati all’interno dei messaggi.

Figura 1. Immagine mostrata all’utente a seguito dell’esecuzione dell’allegato

Gli archivi malevoli contengono script eseguibili VBS e/o Javascript che, una volta aperti, scaricano ed installano un impianto malware della famiglia Gootkit sull’host bersaglio: la minaccia è in grado capace di intercettare le comunicazioni di rete, accedere alle smartcard inserite e trafugare digitazioni utente.

Figura 2. Estratto del codice della minaccia

Le tecniche di propagazione utilizzate dagli attaccanti ed alcuni degli indicatori estratti durante le analisi indicano, con buona confidenza, un legame con le campagne email tracciate dal CERT-PA a Novembre-Dicembre 2018. L’ondata di attacco è riconducibile all’attore di minaccia referenziato come TH-106 da CERT Yoroi.

Di seguito si riportano gli indicatori di compromissioni individuati durante le analisi:

  • Malspam (PEC):
    • Allegati:
      • PE080119-0001692_Nuovi_contratti_2019__237366.zip
      • PE080119-0001692__2019_20180120-Eseguito_pagamento_Bollettino_Postale_0000_1107555.js
      • (o similari)
  • Dropurl:
    • img[.martatovaglieri[.com
    • hxxp:// img.martatovaglieri[.com/index?36098
  • Decoy:
    • hxxp:// www.flpscuolafoggia[.it/wp-content/uploads/2018/12/auguri-di-capodanno-2019.jpg?52704
  • C2 (gootkit):
    • 109.230.199[.169
    • ws.cmgsystems[.it
    • it.sunballast[.de
    • gtdspr[.space
  • Hash:
    • 0d6464d679595677ee4d7efdcf231dcd40c3ff7d55a6b1913d7768a89d683f83 zip
    • 76fb33b3048cc62f8b94ff4cca3ae12eefd7f4e59696663b9a2b1d416abe03f8 js
    • e48a73ac9e661209360a2a7ac8df89b31cd43767d5167ef9ae795bc8d89a318f js
    • 0b157c722327322ee21e1e4c4f5800ce3e65e24392c557d378d6ccb3f2d8cab1exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

One thought on “Campagna di Attacco tramite PEC”

Comments are closed.