Campagna di Attacco Zeus/Panda tematizzata “Agenzia Entrate”

 

Proto: N081017.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una campagna di attacco basata su email fraudolente dirette ad Organizzazioni italiane. I messaggi simulano comunicazioni relative ad avvisi di pagamento provenienti da “Agenzia Entrate” al cui interno è presente un documento Excel allegato in grado di infettare la macchina vittima.

Figura 1. Esempio documento malevolo intercettato


Le analisi svolte dai laboratori Yoroi sui campioni intercettati hanno ricondotto la minaccia alla famiglia ZeuS/Panda (botnet 2.5.6): analogamente a quanto descritto in Early Warning N061017, la variante del trojan individuata ha la capacità di intercettare dati utente all’interno dei browser web in uso (Man-in-the-Browser), trafugare schermate e digitazioni durante le sessioni di lavoro,  instaurare canali di comunicazione backdoor e permettere agli attaccanti accesso alla rete locale.

Di seguito si riportano gli indicatori di compromissione legati alla campagna di attacco individuata:

  • Email:
    • Oggetto:
      • LET_FORMAT_ERROR
      • avviso di pagamento
    • Mittenti:
      • Molteplici account di posta potenzialmente compromessi da domini @inwind.it , @tiscali.it , @hotmail.it , @aliceposta.it, @tim.it , @outlook.it , @libero.it, @legalmail.it , @fastwebnet.it
    • Allegati:
      • <4CIFRE>-F24.xls”   (ad esempio “5368-F24.xls”)
  • Hash:
    • fbc9ba8631a886f1a3ebd541a08a530de154723c
    • 8d596203cb403f30a28c41400d9211a7f75ef707
  • DropUrl:
    • hxxps: //elenrgia .stream/modello
    • elenrgia .stream
    • 107.174.24[.198
  • C2 (https):
    • 923F0F7ADA98 .date
    • 45.77.25[.177
    • F274AFF0B798 .date
    • 91.134.203.]113
    • hxxps: //F274AFF0B798 .date/1siywnewiimomulwayxgy.dat
    • hxxps: //923F0F7ADA98 .date/2xeeguhrufopiycdeulaf.dat
    • hxxps: //923F0F7ADA98 .date/2xeeguhrufopiycdeulaf.exe
    • hxxps: //f274aff0b798 .date/X96Ok1/Dg5fSqB_wHMyLQM5S1HYyQ
    • hxxps: //923F0F7ADA98 .date/webinject32.bin
    • hxxps: //923F0F7ADA98 .date/webinject64.bin
    • hxxps: //923F0F7ADA98 .date/vnc32.bin
    • hxxps: //923F0F7ADA98 .date/vnc64.bin
    • hxxps: //923F0F7ADA98 .date/backsocks.bin
    • hxxps: //923F0F7ADA98 .date/grabber.bin
    • hxxps: //923F0F7ADA98 .date/keylogger.bin
    • hxxps: //923F0F7ADA98 .date/webinjects_1new.dat

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index