Nuova Ondata di Attacco “TaxOlolo” 

 

Proto: N050218.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una pericolosa campagna di attacco ai danni di di utenze italiane basata sull’invio di sedicenti email relative a tematiche finanziarie (e.g. tematizzazione “F24”, “Agenzia Entrate”) . 

Le email fraudolente intercettate contengono link volti allo scaricamento di archivi compressi contenenti all’interno un file “.LNK” malevolo denominato “Nuovo documento 2018.lnk” il quale è in grado di scaricare e mettere in esecuzione un impianto malware riconducibile alla famiglia Trojan/Banking/Gootkit. Le analisi svolte, gli indicatori e le tecniche di attacco individuate indicano che campagna in oggetto è riconducibile alla minaccia “TaxOlolo” identificata da Yoroi nel Gennaio 2018,  caratterizzata dall’utilizzo di efficaci email fraudolente e dall’abuso di servizi di re-direzione ad alta reputazione (rif. Early Warning N040118).

Di seguito si riportano gli indicatori di compromissione individuati:

  • Dropurl:
    • https:// gallery[.mailchimp[.com/0b43c527ca6e0a466a88dd2a9/files/88f3da84-c2c5-432b-8730-3b29640da1fd/nuovo_documento_2018.zip
    • https:// onlinepowerful[.us7.list-manage[.com/track/click?u=0b43c527ca6e0a466a88dd2a9&id=e5257193be&e=39277555c5
    • 5.39.221[.52
    • lf71eea9[.justinstalledpanel[.com
    • http:// 5.39[.221.52/themes7.php
    • http:// lf71eea9[.justinstalledpanel[.com/themes7.php
  • C2 (https, port 80):
    • 185.44[.105.39
    • gdconnect[.fasip.net
    • https: //185.44[.105.39:80/200
  • Hash:
    • 07a9c20b72ede0b43cf0db5fe975306b46cc50f42b585fcaf89ed4005e6a4f7b
    • e5ac98d51c3a8d3dd72e16253455b4bde9e29b5f226737f9dbf85b9d94e809f3
    • a6e60ca450d47723d19537c6319099ce4de65c705022126be0e9437b455fba57
  • Persistenza:
    •  %TEMP%SearchWMI.exe
    •  %TEMP%SearchWMI.inf

A questo proposito, Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index