Campagne di Attacco “Dichiarazione dei redditi”

Proto: N010119.

Con la presente Yoroi desidera informarLa relativamente ad una nuova ondata di attacchi mirati a compromettere organizzazioni ed utenze italiane. La campagna malevola si manifesta con messaggi di posta fraudolenti preparati per indurre le vittime all’apertura di link remoti in grado di installare malware della famiglia Danabot.

Figura 1. Esempio di messaggio malevolo.


Figura 2. Archivio contenente la minaccia Brushaloader.

All’apertura del link inserito nei messaggi email, viene scaricato un archivio compresso contenente uno script vbs in grado di mettere in esecuzione la minaccia Brushaloader, la quale è attualmente configurata per scaricare un impianto malware Danabot capace di intercettare credenziali di numerosi portali bancari e provider di posta (rif. “Dissecting The Danabot Payload Targeting Italy”).

Di seguito si riportano gli indicatori di compromissione individuati durante le analisi effettuate:

  • Malspam:
    • Oggetto: “Dichiarazione dei redditi <DATA>
  • Redirector:
    • hxxp:// donations.storecery.[com/partnerapi/aai.php?email=
    • hxxp:// returns.chrismissirian.[net/mx05/contracts.html?email=
    • hxxp:// local.firstcapitalmortgages[.ca/walker/helpdesk.html?email=
  • Dropurl:
    • sriyukteshvar[.com
    • pragueat.[com
    • todayutos[.info
  • C2 (Bushaloader):
    • ticketiinvoice[.info
    • pinghostwell.[info
    • hxxps ://ticketiinvoice[.info/
    • hxxps ://pinghostwell[.info/chkesosod/downs/OEee
  • C2 (Danabot):
    • 56.50.195[.156
    • 39.12.85[.53
    • 24.243.61[.239
    • 5.221.89[.254
    • 61.152.246[.172
    • 176.119.1[.99
    • 192.71.249[.50
    • 89.248.44[.92
    • 190.114.74[.183
    • hxxp://185.120.144[.185/inv3.php
  • Hash:
    • 2ff1212be2654421db07abce655bc8a76b90b95409cc26ffc95cceb9a018dcdb zip
    • 69cf9199081b78a6ffc8ed288aeb7df477b0cbea864b80a06fa41340df9f49dc vbs
    • 18a7310ee0c7aa0e465fd761f5767004a24fb33cabca0e87c89183840c4f1f05 dll

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

One thought on “Campagne di Attacco “Dichiarazione dei redditi””

Comments are closed.