Campagna Malevola “DHL”

Proto: N020219.

Con la presente Yoroi desidera informarLa relativamente ad una campagna di attacco in corso ai danni di numerose Organizzazioni ed utenti di rete italiani. Gli attacchi si manifestano con messaggi di posta fraudolenti che simulano comunicazioni da parte del Corriere Espresso “DHL”. 

All’interno delle email sono allegati archivi compressi contenenti pericolosi script eseguibili che, se aperti dall’utente bersaglio, scaricano ed eseguono una pericolosa variante del Trojan AZORult. Questa minaccia è in grado di trafugare credenziali ed account salvati nel Browser Web e nei Client di Posta in uso, rimanendo silente all’interno della macchina vittima può inoltre installare ulteriori impianti malware nelle fasi successive dell’attacco.

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi:

  • Malspam:
    • Oggetto:
      • DHL Vogliate ricevere Suo pacco
      • DHL Express Info spedizione
      • Notifica di spedizione DHL
      • Aggiornamento Informazioni Consegna DHL
      • DHL Express Info spedizione
      • VS SPEDIZIONE DHL AWB 478292837 proveniente dalla GRAN BRETAGNA *AVVISO DI GIACENZA *
      • (o varianti)
    • Mittenti (alias):
      • “Dhl info”
      • “Secure-Dhl”
      • “DHL-information”
      • “Pack Dhl”
      • “DHL-company”
      • “DHL”
      • (o varianti)
    • Allegati:
      • CH8579684093848.zip
      • LT667235633955.zip
      • N.5960984765824.zip
      • RTF.567340958609.zip
      • SE570987589094.zip
      • IT4059689349059.zip
      • CH8579684093848.zip
      • CH8579684093848.js
      • UTP.5860948505.js
      • (o varianti)
  • Dropurl:
    • hxxps: //googodsgld[.com/
    • hxxps: //driverconnectsearch[.info/
    • hxxps: //faceboolmotorses[.com/
    • hxxp: //suihuajx[.com/1.php
    • hxxp: //databeuro[.com/wp-admin/ip.php
  • C2:
    • hxxp:// ssl.admin[.itybuy.it/azs/index.php

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index