Molteplici Campagne di Attacco “Richiesta” 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una intensa campagna di attacco mirata ad utenze ed organizzazioni italiane. Le email fraudolente tentano di impersonare comunicazioni di varia natura provenienti da aziende terze come ad esempio, ma non limitato a, sinistri, citazioni o richieste di ticket fittizi.

Figura 1. Esempio documento Word malevolo individuato

I messaggi di posta individuati contengono un documento Word malevolo in grado di scaricare e mettere in esecuzione due tipologie di malware: in primis varianti della famiglia Gozi/Ursnif ed in seguito varianti malware Gootkit. Queste due tipologie di pericolosi malware sono stati utilizzati in più tentativi di attacco registrati in Q1-Q2 2018 e sono in grado di trafugare informazioni potenzialmente riservate, intercettare credenziali utente, installare backdoor sul sistema permettendo agli attaccanti di accedere alle macchine compromesse. 

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Oggetto (potrebbe variare ulteriormente in personalizzazione a seconda della vittima):
    • Re: Re: Condominio <NOME> - documentazione sinistro
    • Re: Gioca e vinci con <AZIENDA>
    • Re: Modalità invio fatture
    • Re: Cambio denominazione commerciale di Alfa &amp; <AZIENDA> in <AZIENDA>
    • Re: I:  Possibili malfunzionamenti in fase di accesso alle VDI (VMWare Horizon)
    • Re: R: 2016.0085.5041 Alpino
    • Intermediario : Ticket N. 185998 in stato Richiesta ISSUE=185998 PROJ=35
    • Re: R: scadenza febbraio avviso scadenza
    • Re: Assicurazioni <AZIENDA>: rispondi e vinci
    • Re: presenze di aprile
    • Re: Fw: Offerta Spot 1150518TVG RITIRO PER ESTERO
    • Re: Conferma 1101 Vs. ordine 362122
    • Re: R: Oggetto:Sin. <AZIENDA> MUTUA N. 2014/0099/50790 del 2582014 Citazione <NOME> Tribunale di Bologna Rgn. 2760 /2017 <NOME>
    • Re: <AZIENDA>/ <AZIENDA> / <AZIENDA> – <NOME>
  • Allegati :
    • Richiesta.doc
    • *_Richiesta.doc (e.g. AM_Richiesta.doc)
  • Mittenti:
    • account potenzialmente compromessi (e.g. *@studiotartagni .it *@morettiamministrazione .it *@studiolegalealvisi .it *@grupponovello .it *@legalivr .it *@virgilio .it *@corsirimini .it, ... )
• Dropurl:
  • qw6e54qwe54wq[.com
  • g98d4qwd4asd[.com
  • sdf5wer4wer[.com
  • qw8e78qw7e[.com
  • http:// qw8e78qw7e[.com/cachedmajsoea/index.php?e=iterd
  • http:// qw8e78qw7e[.com/lipomargara/iterd.yarn
  • http:// exhibitorsuccess[.com/img/internet_explorer/ky.rar
  • http:// exhibitorsuccess[.com/img/internet_explorer/vv.rar
• C2 (ursnif, https):
  • 89.37.226[.12
  • werwaarogonase[.net
  • fhjjndiasnew[.net
  • axewansdownew[.net
• C2 (gootkit , https):
  • 109.230.199[.169
  • sph.expoartshop[.com
• Hash:
  • 163d9c5299304673f2660d5f71bbf18572288fc36be63b56386b9659760b9238 doc
  • d4c3bf7c8f3c3fabe4fe43c63f3f608818d8c375626d786bd483ee5d7f7f7a7c doc
  • 0aedc383249d01777a876bac214a654749e3d52b78c0b2afbfe0caf018678cba doc
  • 4b9c7c5802cdc120c0d0e5e0e21cbcb6915ce4010f931e2313d69b4f925b5f7d doc
  • c79db04ecade3813d98209e48a94a8291475b3320e2966206e5e4ce416cd1d6e exe
  • cf03b1055a34f9dd559eef55558c40cf17df5fe59ab5381b44516b3fedd2ce83  exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index