Campagne di Attacco ad Organizzazioni Italiane (Ambito Finanza)
06/16/2017
Proto: N050617.
Con la presente Yoroi desidera informarLa riguardo ad una pericolosa campagna di attacco in corso ai danni di organizzazioni italiane in ambito finanziario: gli attacchi sono caratterizzati dall’invio di ondate di email fraudolente in lingua italiana caratterizzati dall’uso di oggetti come, ma non limitato a, “info su bonifico”, “conferma di pagamento” oppure “Richiesta di pagamento con carta di credito”. All’interno delle email di phishing registrate gli attaccanti tentano di ingannare le vittime a visitare indirizzi web malevoli legati a numerosi portali web compromessi appartenenti ad organizzazioni terze.
Una volta aperto il link malevolo viene scaricato sulla macchina e messo in esecuzione la prima componente del malware in grado di evadere i sistemi antivirus e scaricare un ulteriore stage della minaccia, tipicamente script eseguibili JavaScript. In seguito vengono scaricati ed eseguiti ulteriori eseguibili .NET offuscati, i quali contengono al loro interno ulteriori payload cifrati malevoli successivamente iniettati e nascosti all’interno di vari processi di sistema. La minaccia individuata ha capacità di installarsi all’interno del sistema e di attivarsi al riavvio della macchina compromessa.
A seguito delle analisi interne sui campioni individuati sono state identificate funzionalità in grado di trafugare contatti, account e credenziali e cookie presenti nei client di posta e browser configurati all’interno della macchina vittima. Di seguito si riportano gli indicatori relativi alla minaccia:
88.99.112[.78
31.148.99.]254
hxxp://mezzelune[.com/arch/stat.exe
hxxp://online.allscapelawnservices[.com/arch/stat.exe
hxxp://quotidianoannunci[.it/arch/stat.exe
magicians-blog[.info
ozarkpatternconcrete[.info
androidtutorials[.info
executenet.]pw
cbtechmediconline[.com
danielvonderahe.]com
hxxp://base.vuquoctrung[.info/htue503dt
hxxp://base.magicians-blog.]info/htue503dt
hxxp://base.ozarkpatternconcrete[.info/htue503dt
hxxp://base.androidtutorials.]info/htue503dt
hxxp://executenet.]pw/htue503dt
hxxp://base.cbtechmediconline[.com/htue503dt
hxxp://base.danielvonderahe.]com/htue503dt
9b8251c21cf500dcb757f68b8dc4164ebbcbf6431282f0b0e114c415f8d84ad0
6456cd84f81b613e35b75ff47f4ccd4d83ec8634b5dcdf77f915fe7380106b28
5ab04878b630d1e0598fb6f74570f653a6bd0753dad9ef55ecf467bee7e618e1
4605dc8f1bc38075eacf526a1126636aa570fccbe78dca69781cc25edd1a1043
3fc092b52e6220713d2cb098c6d11a56575c241f
610df2672d7cae29e48118a27c4cb2a531e6399b
c304502aa7217399acc0162f41da00dc4add4105
Per ulteriori dettagli tecnici si rimanda al seguente articolo informativo.
Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
Una volta aperto il link malevolo viene scaricato sulla macchina e messo in esecuzione la prima componente del malware in grado di evadere i sistemi antivirus e scaricare un ulteriore stage della minaccia, tipicamente script eseguibili JavaScript. In seguito vengono scaricati ed eseguiti ulteriori eseguibili .NET offuscati, i quali contengono al loro interno ulteriori payload cifrati malevoli successivamente iniettati e nascosti all’interno di vari processi di sistema. La minaccia individuata ha capacità di installarsi all’interno del sistema e di attivarsi al riavvio della macchina compromessa.
A seguito delle analisi interne sui campioni individuati sono state identificate funzionalità in grado di trafugare contatti, account e credenziali e cookie presenti nei client di posta e browser configurati all’interno della macchina vittima. Di seguito si riportano gli indicatori relativi alla minaccia:
88.99.112[.78
31.148.99.]254
hxxp://mezzelune[.com/arch/stat.exe
hxxp://online.allscapelawnservices[.com/arch/stat.exe
hxxp://quotidianoannunci[.it/arch/stat.exe
magicians-blog[.info
ozarkpatternconcrete[.info
androidtutorials[.info
executenet.]pw
cbtechmediconline[.com
danielvonderahe.]com
hxxp://base.vuquoctrung[.info/htue503dt
hxxp://base.magicians-blog.]info/htue503dt
hxxp://base.ozarkpatternconcrete[.info/htue503dt
hxxp://base.androidtutorials.]info/htue503dt
hxxp://executenet.]pw/htue503dt
hxxp://base.cbtechmediconline[.com/htue503dt
hxxp://base.danielvonderahe.]com/htue503dt
9b8251c21cf500dcb757f68b8dc4164ebbcbf6431282f0b0e114c415f8d84ad0
6456cd84f81b613e35b75ff47f4ccd4d83ec8634b5dcdf77f915fe7380106b28
5ab04878b630d1e0598fb6f74570f653a6bd0753dad9ef55ecf467bee7e618e1
4605dc8f1bc38075eacf526a1126636aa570fccbe78dca69781cc25edd1a1043
3fc092b52e6220713d2cb098c6d11a56575c241f
610df2672d7cae29e48118a27c4cb2a531e6399b
c304502aa7217399acc0162f41da00dc4add4105
Per ulteriori dettagli tecnici si rimanda al seguente articolo informativo.
Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
