Campagne di Propagazione Malware Gootkit

Proto: N061118.

Con la presente Yoroi desidera informarLa relativamente ad una nuova campagna di attacco basata su email malevole dirette a numerose organizzazioni italiane. I messaggi di posta recapitati agli utenti di rete simulano risposte a richieste di preventivo, invitandoli in seguito allo scaricamento di ulteriori file attraverso appositi link inseriti nel corpo della comunicazione.

Figura 1. Esempio di messaggio di posta malevolo

I file zip scaricati a seguito dell’apertura del link contengono vari documenti innocui inseriti dall’attaccante per deviare eventuali sospetti da parte degli utenti. Tuttavia, uno dei file contenuti negli archivi compressi è uno script vbs eseguibile in grado di scaricare ed installare un impianto malware della famiglia Gootkit, capace di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.

 

Figura 2. Contenuto degli archivi malevoli

Il CERT-Yoroi ha osservato e continua a tracciare attacchi di questa tipologia sin dai primi mesi del 2018, registrando campagne di propagazione malware mirate al panorama italiano e caratterizzate da comunicazioni email ben tematizzazione (TH-106). Di seguito si riporta la lista di indicatori di compromissione individuati durante le analisi svolte:

  • Malspam:
    • Preventivo 451369 DEL 0410
  • Dropurl:
    • hxxp://lenam[.uk/fornitura.php?iduser=sPaZ2CkIy
    • 109.230.199[.115
    • hxxps://predisposto.mattpodschweit[.com/comuniv/inter.php7
    • hxxps://mercati.gasheatingrepairs[.com/applicatoni/integerdig.php7
  • C2 (gootkit):
    • 185.248.160[.132
    • comm.clicktravelex[.com
    • ipo.pranavashram[.in
    • bodim.jaipurmurtibhandar[.in
  • Hash:
    • 20970452542599b7b9dd6992163f4403f050d34a8219cd7f17f840a9262470ad zip
    • 6c75f71922aa988ee8a655d1f43b25e80892dbc99451fca38730ed621d61a32b zip
    • a311d2a4b112f35c3bf0e4bc8b8c2d391fe44d2cf83fb681386862bb062fc15c vbs
    • bafd083db8abd4c5e3adf0bfc67af70dc0bd1ea0803457bedc037614594f0e77 vbs
    • 3a1597ea15906753197b14e2b6e7766b32ea315f28772a216bf34e78f0928482 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index