Campagna di Attacco Zeus/Panda 

 

Proto: N010618.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna mirata ad utenze ed organizzazioni italiane. L’attacco in corso è caratterizzato dall’utilizzo di messaggi di posta fraudolenti con tematiche fiscali quali richieste, conferme e fatturazioni del mese di giugno. Le email sono appositamente create al fine di indurre la vittima all’apertura di un documento Excel in grado di infettare silenziosamente la macchina bersaglio.



Figura 1. Esempio di foglio elettronico malevolo recapitato alle vittime


A seguito dell’apertura, il foglio di calcolo malevolo scarica e mette in esecuzione una variante malware della famiglia Zeus/Panda, configurata per l’esfiltrazione di informazioni, keylogging, furto di password, token e cookie di sessione relativi a sessioni utente presso istituti bancari o finanziari quali CEDACRI, CREDEM, FINECO, GRUPPO CARIGE, INTESA SANPAOLO, MPS, POSTE, QUERCIA, BANCA PASSADORE, FRIULADRIA, BPER, INBANK. 

La campagna di attacco individuata risulta riconducibile al gruppo cybercriminale che dal 2017 è specializzato in attacchi basati su email malevole preparate per il panorama italiano; di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi effettuate:

  • Malspam:
    • Mittenti:
      • mittenti falsificati attualmente individuati: @infinito.it , @acli.it, @provincia.arezzo.it, @poliziadistato.it, @mediaset.it, @formez.it, @comune.padova.it,  @agenziadogane.it,  @istruzione.it, @mediaw.it, @marina.difesa.it, @comune.fi.it, @senato.it,  @antonveneta.it, @sirti.it, @gruppopam.it, @entecra.it, @ausl.mo.it, @usl3.toscana.it, @unimi.it, @tiscali.it, @comune.sp.it, @comune.pv.it, @virgilio.it, @lycos.it, @pecveneto.it, @regione.lombardia.it
    • Oggetto:
      • “Fatturazione e pagamento – giugno”
      • “fattura Giugno”
      • “fattura”
      • “Re: R: Richiesta”
      • “Conferma fattura”
      • “Invio fattura n° 000935 del 04/06/2018”
    • Allegato:
      • “IBAN_F5721_<NOME_UTENTE>.xls”
  • Dropurl:
    • 89.18.27[.183
    • iniwarinta[.date
    • hawkgrute[.men
    • https:// iniwarinta[.date/printing_s
  • C2:
    • 185.117.75[.121
    • 4e3efb489547[.club
    • https:// 4E3EFB489547[.club/1adhucyatatpalyowwies.dat
    • https:// 4E3EFB489547[.club/webinjects_1new.dat
    • https:// 4E3EFB489547[.club/1adhucyatatpalyowwies.exe
    • https:// 4E3EFB489547[.club/keylogger.bin
  • Webinject:
    • https:// guardnet[.review/novum/
    • https:// guardnet[.review/kenta/
    • https:// guardnet[.review/alko/
  • Hash:
    • abe9afc177f644877b11accbe8df4d0dbf7561f8f0d19227af05294671bf3853 xls
    • 5cb55572f995c9e058d993662ac425e3cb6c11e09793ac53ff6bf45427521d22 xls
    • c54dee04c4a30ffe621bf7374461e9ee31c32d0e842551b095e803d676cf2d38  exe
    • 282d87939edbe0745176ae57a41282c34c8b98775784cd6dcd632906c14485a8 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index