Nuova Campagna di Attacco verso Aziende Italiane

Proto: N010719.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una nuova campagna di attacco in corso ai danni di Organizzazioni ed Aziende italiane. Le email malevole simulano invii di documenti contabili, fatture o solleciti di pagamento, al loro interno tuttavia sono presenti allegati in grado di infettare la macchina vittima con un impianto malware capace di intercettare digitazioni da tastiera, trafugare le password salvate, alterare la navigazione web utente e permettere l’accesso locale agli attaccanti. La minaccia è tracciata da CERT-Yoroi come TH-124, attiva dal 2018.

Figura. Esempio Documento Infetto

Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi:

  • Malspam:
    • Allegati:
      • 201907 572 Ft_N000150.xls
    • Oggetti:
      • ft / giugno 2019
      • Sollecito pagamento
      • documenti – trasporo
      • Allegato Documento non Fiscale
      • Documento non Fiscale
      • Allegato Documento
      • Fattura Elettronica fiscalmente valida
      • Documentazione
      • I: Estratto conto + Fattura
      • Invio per posta elettronica: ALLEGAT
      • DETTAGLIO FATTURE
      • SCADENZA CORRETTO
      • Spedizioni
      • In allegato ultimo aggiornamento
      • Fatture commerciali e di anticipo
  • Dropurl:
    • https://outlowupdt[.info/gallery.php
    • 185.158.249[.116
    • outlowupdt[.info
  • Hash:
    • 10a33366928f8d9cd9d084814df4fb46 xls
    • dc0595c0736b1db9bf6db7d8472bec1b xls

(Analisi in corso)

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index