Campagna di Attacco ZeuS/Panda Tematizzata “ENEL” 

 

Proto: N061017.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una campagna di attacco basata su ondate di email malevole dirette ad Organizzazioni italiane. I messaggi fraudolenti sono appositamente creati dagli attaccanti al fine di simulare comunicazioni di fatturazione elettronica provenienti da “ENEL Energia”: in allegato al messaggio è presente un documento Excel malevolo in grado di scaricare ed attivare malware legato alla famiglia ZeuS/Panda di tipologia Trojan/Banking.


Figura 1. Esempio di documento malevolo rilevato


Le analisi svolte dai laboratori Yoroi sui campioni intercettati hanno rilevato capacità di iniettare contenuti ed intercettare dati utente all’interno dei browser web in uso (Man in the Browser), trafugare schermate e screenshot durante le sessioni di lavoro,  instaurare canali di comunicazione backdoor e permettere agli attaccanti accesso alla rete locale.

Di seguito si riportano gli indicatori di compromissione legati alla campagna di attacco individuata :

  • Email:
    • Oggetto:
      • “ENELENERGIA – EMISSIONE BOLLETTAWEB DI ENERGIA ELETTRICA DI Settembre 2017”
    • Mittente:
      • “no_reply.enelenergia @enel .com” (indirizzo falsificato dagli attaccanti)
      •  203.9.159[.184
    • Allegati:
      • “005426227016_30454715_9_A.xls”
  • Hash:
    • 5c8865610d85116a80075cc2d0bed0d6ba80b32a
    • e6564055c1f46bece018e1d3dabba04f17e7f8a4
    • 8a947e9df9434df7ed48f030847f3c5050702d07
  • DropUrl:
    • https ://elementale[.xyz/wios
    • 82.118.17[.147
  • C2 (https):
    • https ://6E0F8DFF3547[.loan/webinjects_1new.dat
    • https ://6E0F8DFF3547[.loan/1kyawolulicitypcietad.dat
    • https ://6e0f8dff3547[.loan/Ir4/H0V/dT/L/l60Tg/wK/xo8Whra/zw
    • https ://6E0F8DFF3547[.loan/grabber.bin
    • https ://6E0F8DFF3547].loan/backsocks.bin
    • https ://6E0F8DFF3547[.loan/vnc32.bin
    • https ://6E0F8DFF3547.]loan/vnc64.bin
    • https ://6E0F8DFF3547].loan/webinject64.bin
    • https ://6E0F8DFF3547].loan/webinject32.bin
    • https ://6E0F8DFF3547.[loan/1kyawolulicitypcietad.exe
    • https ://6E0F8DFF3547[.loan/1kyawolulicitypcietad.dat
    • 6E0F8DFF3547[.loan
    • 18.216.97.]84

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index