Campagne di Propagazione Malware Gootkit

Proto: N061118.

Con la presente Yoroi desidera informarLa relativamente ad una nuova campagna di attacco basata su email malevole dirette a numerose organizzazioni italiane. I messaggi di posta recapitati agli utenti di rete simulano risposte a richieste di preventivo, invitandoli in seguito allo scaricamento di ulteriori file attraverso appositi link inseriti nel corpo della comunicazione.

Figura 1. Esempio di messaggio di posta malevolo

I file zip scaricati a seguito dell’apertura del link contengono vari documenti innocui inseriti dall’attaccante per deviare eventuali sospetti da parte degli utenti. Tuttavia, uno dei file contenuti negli archivi compressi è uno script vbs eseguibile in grado di scaricare ed installare un impianto malware della famiglia Gootkit, capace di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.

Figura 2. Contenuto degli archivi malevoli

Il CERT-Yoroi ha osservato e continua a tracciare attacchi di questa tipologia sin dai primi mesi del 2018, registrando campagne di propagazione malware mirate al panorama italiano e caratterizzate da comunicazioni email ben tematizzazione (TH-106). Di seguito si riporta la lista di indicatori di compromissione individuati durante le analisi svolte:

• Malspam:
  • Preventivo 451369 DEL 0410
• Dropurl:
  • hxxp://lenam[.uk/fornitura.php?iduser=sPaZ2CkIy
  • 109.230.199[.115
  • hxxps://predisposto.mattpodschweit[.com/comuniv/inter.php7
  • hxxps://mercati.gasheatingrepairs[.com/applicatoni/integerdig.php7
• C2 (gootkit):
  • 185.248.160[.132
  • comm.clicktravelex[.com
  • ipo.pranavashram[.in
  • bodim.jaipurmurtibhandar[.in
• Hash:
  • 20970452542599b7b9dd6992163f4403f050d34a8219cd7f17f840a9262470ad zip
  • 6c75f71922aa988ee8a655d1f43b25e80892dbc99451fca38730ed621d61a32b zip
  • a311d2a4b112f35c3bf0e4bc8b8c2d391fe44d2cf83fb681386862bb062fc15c vbs
  • bafd083db8abd4c5e3adf0bfc67af70dc0bd1ea0803457bedc037614594f0e77 vbs
  • 3a1597ea15906753197b14e2b6e7766b32ea315f28772a216bf34e78f0928482 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index