Nuova Campagna di Attacco “DHL”

 

Proto: N070618. 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una pericolosa campagna di attacco in corso ai danni di utenze italiane. Gli attacchi si manifestano con messaggi email fraudolenti che simulano comunicazioni provenienti dal noto corriere “DHL”: queste email hanno al loro interno un archivio zip potenzialmente in grado di bypassare controlli di sicurezza come antispam e antimalware.

Figura 1. File .iqy all’interno dell’archivio allegato


L’archivio in questione contiene un documento malevolo con particolare estensione “.IQY” in grado di essere interpretato da Microsoft Excel (rif. Early Warning N070518); una volta aperto dall’utente il file è in grado di mettere in esecuzione varianti malware della famiglia Ursnif, capace di trafugare dati, fornire un accesso backdoor ed intercettare attività utente.


Figura 2. Apertura del file .iqy


Per via della loro natura, i file “.iqy” potrebbero non essere estensivamente identificati dai sistemi perimetrali, pertanto Yoroi suggerisce di valutarne la disabilitazione a livello di applicativo Office attraverso le impostazioni di blocco file del Trust Center Microsoft (rif. DatabaseandDatasourceFiles, DifandSylkFiles).

Di seguito si riportano gli indicatori di compromissione rilevati a seguito delle analisi condotte:

  • Malspam:
    • Allegato:
      • “EXEL PACKAGE 26_06_2018.zip”
    • Oggetto:
      • VS SPEDIZIONE DHL AWB 67829383 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **
      • Informazione DHL Express
      • DHL Express Info spedizione
    • Mittenti:
      • vari, potenziali caselle di posta compromesse
  • DropUrl:
    • http ://office.velahotel[.store/ex/1.dat
    • http ://office.velahotel[.store/ex/2.dat
    • http ://office.velahotel[.store/ex/1000_crypt.exe
  • Components:
    • http ://klempokv[.cz/test/open.bin
    • http ://teliccorporation[.com/images/wow1.zip
    • http ://moevents.digistorm[.net/docs/lol.bts
    • http ://anji.[es/test/555.rar
    • http ://vmedya.com[.tr/sotpie/osa.rtf
    • http ://embeestudio[.com/worked/bat.bin
  • C2 (ursnif):
    • http ://arh.mobipot[.at/wpapi
    • http ://torafy[.cn/wpapi
    • http ://loop.mionool[.at/wpapi
    • http ://n1.mionool[.at/wpapi
    • http ://yraco[.cn/wpapi
    • http ://inc.robatop[.at/wpapi
    • http ://poi.robatop[.at/wpapi
    • http ://bbb.mobipot[.at/wpapi
    • http ://api.takhak[.at/wpapi
    • http ://xxx.kerions[.at/wpapi
    • http ://fr.mionool[.at/wpapi
    • http ://free.clocktop[.at/wpapi
    • http ://harent[.cn/wpapi
    • https ://4fsq3wnmms6xqybt[.onion/wpapi
    • https ://em2eddryi6ptkcnh[.onion/wpapi
    • https ://nap7zb4gtnzwmxsv[.onion/wpapi
    • https ://t7yz3cihrrzalznq[.onion/wpapi
  • Hash:
    • 0d9909743d6ef9fe04e4435162497839382428ac10ffdbc2e2dfb0b2283646d7 zip
    • 55f49cae3f11edd992770121d1b46d4d46c8f8298d013fb5af10bbfa0f1a2789 iqy
    • 6ef8e4c62536d8883103c229d50a937fcb1d4470e65dbea653c194a529ad2b6e exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index