Email Malevole “Fatturazione Elettronica”

Proto: N021118.

Con la presente Yoroi desidera informarLa relativamente ad una recente campagna di attacco che sta prendendo di mira organizzazioni italiane. Gli attacchi sono caratterizzati dall’invio di email fraudolente che simulano scambi di informazioni da parte di ipotetici fornitori di servizio per via degli imminenti adeguamenti in tema di fatturazione elettronica, che diventerà obbligatoria dal 2019.

I messaggi di posta contengono un file zip nominato “Nuovi_2018_11_____11223.zip” all’interno del quale è inserito uno script vbs eseguibile pesantemente offuscato dall’attaccante: lo script è in grado di scaricare ed installare una pericolosa variante malware della famiglia Gootkit capace di rimanere silente all’interno del sistema vittima, esfiltrare dati, intercettare e redirezionare traffico di rete, trafugare credenziali di sistema e fornire accesso backdoor alla macchina compromessa.

 

Figura 1. Funzioanlità malevole del campione malware Gootkit

Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi svolte:

  • Malspam:
    • Oggetto: “Re: FATTURAZIONE ELETTRONICA
    • Allegati: “Nuovi_2018_11_____11223.zip” (o varianti)
  • Dropurl:
    • hxxp:// speakerleakers[.com/putty
  • C2 (gootkit):
    • 109.230.199[.169
    • don.bikescout24[.fr
    • drk.fm604[.com
    • gtdspr[.space
  • Hash:
    • 7ad0ac99d91707e443b6eb1fea3bbbd7132daaf93964d19ea3b7c7806a887acd zip
    • ad2e1afa3d88d2b6b7336174f95b2ae4ab9fcbf6220e5eff87c1cdf0c290c42c  vbs
    • cc406dfd31757cdc7f8baa3b08f73bff8c69c2da5d1c6862acdb74d05da1a1cd exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index