Campagna Gootkit verso PEC Italiane

Proto: N020519.

Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco in corso ai danni di Organizzazioni italiane. Sono state infatti intercettate email dirette a caselle di Posta Elettronica Certificata (PEC) contenenti allegati infetti. I messaggi tentano di ingannare l’utente simulando comunicazioni legate a problematiche amministrative, tuttavia al loro interno sono presenti script VBS in grado di infettare la vittima con un impianto malware della famiglia Gootkit: minaccia capace di intercettare le comunicazioni di rete, tra cui le sessioni di home-banking sui principali portali bancari italiani, smart-card inserite e digitazioni utente.

Figura. Esempio PEC fraudolenta.

Di seguito si riportano gli indicatori di compromissione estratti:

  • Malspam:
    • POSTA CERTIFICATA: bonifico a Vs favore. NNNNN
  • Dropurl:
    • hxxp:// ema.emeraldsurfsciences[.com/v2i.php?need=js&vid=pec9vbs&btduj
    • hxxp:/ /vdd.c21breeden[.com/api?avtit
  • C2(jasper)
    • hxxp:// safa.205dundas[.com/v2i.php?need=body&_=aecuthutsvawbaxcvdwad
    • hxxp:// safa.205dundas[.com/v2i.php
  • C2(gootkit):
    • 185.158.249[.144
      • ssw.138front[.com
      • martatov[.top
      • ami.sigaingegneria[.com
      • erre.effe-erre[.es
      • filuetrama[.top
  • Hash:
    • 365749d27244bef550e760f96e26771d997891f9fc13254aee81b15ac8422df2 vbs
    • d2fe4bb28c995b71fa6739d870117aa34b0ce3ed1b3b8359a1a244549fe873df exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index