Campagna di attacco Zeus/Panda

Proto: N040418.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova ondata di attacchi rivolta ad utenti ed organizzazioni italiane: le email fraudolente vengono distribuite da mittenti potenzialmente compromessi e sono caratterizzate da richieste d’ordine fittizie od ipotetici moduli F24.



Figura 1.  Esempio documento Excel malevolo rilevato


I messaggi malevoli contengono documenti Excel in grado di scaricare malware della famiglia Zeus/Panda, il malware è configurato per esfiltrare informazioni dall’host vittima (cookie di sessione, password, form web, certificati) ed intercettare credenziali e sessioni utente presso istituti bancari o finanziari quali: BNL, CEDACRI, BPER, FINECO, CARIGE, INBANK, INTESA SANPAOLO, POSTE, QUERCIA.

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto:
      • conferma d’ordine
      • ordine in allegato
      • conferma d’ordine in allegato 16/04
      • in allegato troverete la conferma d’ordine
      • conferma d’ordine in allegato
      • Conferma d’ordine in allegato
      • 16/04/2018 conferma d’ordine in allegato
      • ordine aprile
      • conferma e accettazione ordine
      • f24
    • Allegato:
      • Ordine del 16-04-2018 – Documento <4CIFRE>.xls (o similare)
      • f24_<7CIFRE>.xls  (o similare)
    • Mittenti:
      • utenze potenzialmente compromesse (@ alice.it aliceposta.it arubamail.it czrrz.191.it email.it fastwebnet.it hotmail.it icloud.com inwind.it istruzione.it ktdtz.191.it legalmail.it libero.it outlook.it pec.it tim.it tin.it tiscali.it yahoo.it)
  • Dropurl:
    • 188.165.62[.17
    • microratings[.tk
    • https ://microratings[.tk/videos
  • C2 (https):
    • 178.33.129[.67
    • 487BD01E2610[.ga
  • Webinjects:
    • elemenatalelib[.space
    • https ://elemenatalelib[.space/alko/in/pp/p.php?
    • https ://elemenatalelib[.space/kenta/in/bnl/bnl.php?
    • https ://elemenatalelib[.space/kenta/in/bnl/rp.php?
    • https ://elemenatalelib[.space/kenta/in/bpergroup/bpe.php?
    • https ://elemenatalelib[.space/kenta/in/businesswaybnl/bway.php?
    • https ://elemenatalelib[.space/kenta/in/businesswaybnl/rp.php?
    • https ://elemenatalelib[.space/kenta/in/cbibanking/x_cbi.php?
    • https ://elemenatalelib[.space/kenta/in/cedacri/ceda.php?
    • https ://elemenatalelib[.space/kenta/in/cedacri/ceda_p.php?
    • https ://elemenatalelib[.space/kenta/in/fineco/fn.php?
    • https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_online.php?
    • https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_vbank.php?
    • https ://elemenatalelib[.space/kenta/in/gruppocarige/gruppocarige_wps.php?
    • https ://elemenatalelib[.space/kenta/in/inbank/com.php?
    • https ://elemenatalelib[.space/kenta/in/intesasanpaolo_pers/int_p.php?
    • https ://elemenatalelib[.space/kenta/in/intesasanpaolo_pers_old/int_p_old.php?
    • https ://elemenatalelib[.space/kenta/in/intesasanpaolo/repl.php?
    • https ://elemenatalelib[.space/kenta/in/popso/pop.php?
    • https ://elemenatalelib[.space/kenta/in/poste/pin.php?
    • https ://elemenatalelib[.space/kenta/in/quercia/db.php?
    • https ://elemenatalelib[.space/kenta/in/relaxbanking/rel.php?
    • https ://elemenatalelib[.space/novum/i/autisttest/test.php?
    • https ://elemenatalelib[.space/novum/js/check/intesasanpaolo/
    • https ://elemenatalelib[.space/novum/js/login/dbonline/
    • https ://elemenatalelib[.space/novum/js/login/intesasanpaolo/
  • Hash:
    • 7ba72542a9b3bf275e67023ca37759761a040f98b5860a59684019a0b8559990 xls
    • e5f32f9d17ca77b677b77a6ab9f497877711226845ccca5e877bf2a2dc833cf6 xls
    • c6a7246f0e4f407338f5aa081708da43d1354b7d4cd46fc855f7ca17646ebfc2  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index