Campagne di Attacco Malware Gootkit

Proto: N050618.

 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una persistente campagna di attacco rivolta a numerose Organizzazioni all’interno del tessuto produttivo ed amministrativo italiano. Gli attacchi sono portati da un gruppo operante negli ambienti del cyber crimine specializzato nella preparazione di comunicazioni email fraudolente in grado di evadere i sistemi di protezione perimetrali ed ingannare le utenze al fine di aprire documenti e link remoti (TH-106, rif EW N100318, N050218, N040118). 

Nel dettaglio, le email malevole si manifestano con più tematiche e sono accomunate dalla presenza di collegamenti volti allo scaricamento di ipotetici documenti; tali link puntano in realtà ad una serie di domini malevoli utilizzati per servire un archivio contenente uno script .js offuscato. Se eseguito, lo script effettua lo scaricamento di una variante malware del Trojan Gootkit da un’ulteriore pletora di domini appartenenti alle infrastrutture dell’attaccante. 

In base alle evidenze raccolte in queste ultime settimane, gli attaccanti stanno tentando di infettare molteplici aziende private italiane ed enti pubblici; di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

  • Malspam:
    • “Il Documento N. 59129 Dal 22/06/18”
    • “CV”
    • “Il Documento N. 59129 Dal 22/06/18”
    • “Materiale Richiesto del 02/06/2018”
    • “Dichiarazione Del 06/05/2018”
  • Dropurl (zip):
    • http:// www. disillusionedlife[.com/uedn?durg=36607
    • http:// www. fivestoreyprojects[.com/hjcf?fslt=37878
    • http:// www. blind-pig[.com/evry?tqbh=36759
    • http:// www. jeffjourdain[.com/mqje?ggzo=34853
    • http:// www. rebelknife[.com/bslj?yuvc=12534
    • http:// www. skandaoilmill[.com/zabal?axkz=18976
    • http:// www. skandaoilmill[.com/dfea?huvij=20014
  • Dropurl (exe):
    • /pagenewex12.php
      • agamelike].com
      • albertomerello].com
      • automaticmarijuana].com
      • autorepairserviceslist].com
      • bankbola].com
      • bioelectricmedia].com
      • blahhouse].com
      • bonodigital].com
      • demonica666].com
      • designforecast].com
      • detroittechtown].com
      • fivestoreyprojects].com
      • ganse].com
      • gauravgautam].com
      • hermeslogisticsint].com
      • householdhaircuts].com
      • idoodi].com
      • ihackradio].com
      • ingadgetshop].com
      • lab1504].com
      • lemonpulse].com
      • letsdocambodia].com
      • letsdoegypt].com
      • maxibuys].com
      • mdquencydesigns].com
      • meyerstation].com
      • mymindisgoing].com
      • nonpartisancoalition].com
      • northbeachgallerywa].com
      • originally-organic].com
      • petesdeals].com
      • postpunks].com
      • queenflare].com
      • rebelknife].com
      • rebelmavenmastermind].com
      • reportbuys].com
      • restedtraveler].com
      • sayaair].com
      • siliconplanetbook].com
      • skandaoilmill].com
      • spiderblades].com
      • theweightlossactivityplan].com
      • uberalawyer].com
      • usmletomatch].com
      • winusapowerball].com
      • xyful].com
      • yourrxprivates].com
  • C2:
    • 185.158.248[.131
    • negoosh[.com
    • ftps.layermag[.com
    • owekay[.com
    • earnmoretips[.ru
  • Hash:
    • 7c40dd9cdfff015088d66ebc9eba38d2b93600b3d3abc3e0d1738d868d31d6ab zip
    • f625c2cc343e5217f6e73967228b76b20a104cf23c134a967cd935c9f640f8d8 js
    • 97f8e49b394605778c72fa2135a611d021a7fe1fd1c8d63b2b6528dc51dd3bf4 js
    • 8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3  2_exx
    • 74355aa4f111a562a9c43172fc57b81d76370728027bcbcbef8c3c9edf4d4961  2_exx
    • 8990b0218d0537ad867b026033791491a66ffce4ae7fd488c64af4ea59532eb3  2_exx
    • cff757f7230b3bf490843d2ca341e3fe0b8777f5276a58187e9ccf08d3a7f97a  2_exx

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index