Campagne di Propagazione Malware Zeus/Panda

 

Proto: N050118.

 

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una intensificazione delle campagne di attacco mirate al panorama italiano.  I tentativi di attacco intercettati in questi giorni sono di carattere opportunistico ed hanno lo scopo di ingannare gli utenti di rete attraverso messaggi di posta fraudolenti inerenti a pagamenti, ordinazioni o sedicenti fatture.

Queste ondate di attacco possono contenere documenti Excel malevoli o link a siti web compromessi, attraverso i quali gli attaccanti sono in grado di installare malware riconducibile alla famiglia ZeuS/Panda all’interno degli host vittima. Le varianti del malware individuate sono in grado di trafugare password salvate all’interno del sistema (e.g. Outlook e software FTP), fornire accesso remoto agli attaccanti ed intercettare credenziali inserite dalla vittima all’interno di portali web.

A seguito delle analisi svolte sono state individuate specifiche configurazioni del malware mirate a trafugare dati relativi ad utenze di varie organizzazioni italiane.  Nel dettaglio è stato rilevato un particolare interesse da parte dei cyber-criminali riguardo credenziali utilizzate per accedere a portali di HB di:

  • Cedacri
  • BPER Group
  • Intesa SanPaolo
  • BNL
  • MPS
  • InBank
  • BancoPosta
  • BCC
  • Credem
  • ISTITUTO CENTRALE DELLE BANCHE POPOLARI ITALIANE S.P.A.
  • CSE – Consorzio Servizi Bancari Scarl
  • Banca Generali
  • Allianz

A credenziali utilizzate per l’accesso a servizi di posta come:

  • Aruba Mail
  • PEC Webmail
  • Exchange, OWA  (generico, volto a trafugare credenziali inserite in installazioni “Outlook Web Access” aziendali)
  • Google Mail
  • Outlook Live
  • Libero Mail
  • Freenet Email

A credenziali per l’accesso ad exchange di cripto-valute quali:

  • Bitfinex
  • Bitstamp

Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Tematizzazione  “Notifica cartella di pagamento”
    • Tematizzazione “RICEVUTA PAGAMENTO” “Documento” “Fattura” “R: Fatture ing.” “allegato fattura gennaio” “gennaio pagamento” “ordine”
      • Possibili allegati “2018-<USERNAME>.xls”
  • Dropurl:
    • http:// www.centroudito[.it/Notifica_cartella_di_pagamento.zip
    • http:// www.newgalvit[.it/Notifica_cartella_di_pagamento.html
    • 89.45[.67.21
    • http:// 89.45.67[.21/connection.jpg
    • softarez[.cf
    • 5.196.42[.124
    • https:// softarez[.cf/mkeyb.gif
  • C2:
    • 8a557f045347[.com
    • 93.113.45[.10
    • 02d8a682db98[.ml
    • 7ab7f6ae8798[.ml
    • 02d8a682db98[.ml
    • 137.74.6[.95
    • 02d8a682db10[.ga
    • 185.82.219[.100
    • 7ab7f6ae8798[.ml
    • 137.74.6[.95
    • 7ab7f6ae8710[.ga
    • 191.101[.20.68
    • 7ab7f6ae8798[.cf
    • 89.18.27[.208
    • 02d8a682db47[.tk
    • 7ab7f6ae8747[.tk
  • Exfiltration:
    • gemendoloma[.top
    • seccunet[.com
    • elementaleios[.win
    • https:// elementaleios[.win/kenta/
    • https:// elementaleios[.win/kenta/in/
    • https:// seccunet[.com/data/
    • https:// gemendoloma[.top/?adm=ssl&s=X&s5=<SOCKS>&n=zoo&b=<BOTID>&s5=<SOCKS>&js=bizsedarcitoken_js&_=
    • https:// elementaleios[.win/kenta/in/gate.php?step=ADD_INFO&bot_id=<BOTID>&login=&bank_name=<BANKNAME>&data=z
  • Hash:
    • 9b7e7789e9c390d8972ef4772b588ba29e0e84a4
    • 1ac908d03169bb5f6cdb19b2dfdd89c50a1f21aa
    • 1403eb47d47ad3752d304645cb3beec1b9d4ead5
    • 453255b4ad31d4f5e82519f549122817322e2894
  • Persistenza:
    • %TEMP%<CIFRE_CASUALI>.exe  (e.g. %TEMP%3574851.exe)
    • %APPDATA%RoamingMacromediaFlash Playermacromedia.comsupportflashplayersys<NOME_FITTIZIO>.exe  (e.g. “mail.zip.exe”)
    • HKCUSoftwareMicrosoftWindowsCurrentVersionRun<NOME_FITTIZIO>.exe (e.g. “Control Panel.exe”)
    • %APPDATA%RoamingAdobeFlash PlayerAssetCache<NOME_FITTIZIO>.exe  (e.g. “Internet Explorer.exe”)
    • HKCUSoftwareMicrosoftAdagavEkymsy
    • HKCUSoftwareMicrosoftAwav
    • HKCUSoftwareMicrosoftKeepqo
    • HKCUSoftwareMicrosoftAdagav
    • HKCUSoftwareMicrosoftAdagavEcakyhaxd
    • HKCUSoftwareMicrosoftAdagavAmugorz

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index