Nuova Ondata di Attacco Tematizzata “DHL”

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una nuova ondata di attacchi mirati ad organizzazioni italiane caratterizzata da email fraudolente che tentano di impersonare comunicazioni del noto corriere espresso “DHL”.

I messaggi di posta analizzati contengono un archivio compresso all’interno del quale è presente un file “.bat” eseguibile che all’apertura inganna la vittima caricando una schermata legittima dal portale “FedEx”, mentre nel contempo scarica ed installa malware legato alla famiglia Gozi/Ursnif. Il malware è in grado di trafugare dati, fornire accesso backdoor all’host, intercettare digitazioni effettuate su tastiera ed attività utente.

Figura 1. Schermata legittima mostrata all’utente a seguito dell’esecuzione dello script malevolo.


Figura 2. Codice di scaricamento malware contestuale alla visualizzazione della schermata in Fig.1

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Mittente: "Dhl-secure" <claudiomolari@gruppoautosat[.it> (o possibili account di posta compromessi)
  • Allegato: “NF.84958604.zip” (o similare)
  • Oggetto: “VS SPEDIZIONE DHL AWB 7309283792 proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **” (o similare)
• DropUrl:
  • hxxp:// http://www.sweetsilver[.com/inv.php
• DecoyUrl:
  • hxxps://www.fedex[.com/apps/fedextrack/?action=track
• Components:
  • hxxp://mcleanmedia[.net/images/wow.pt
  • hxxp://reviewsandmenus[.com/cost.tif
  • hxxp://altwheels[.com/video/pass.bin
  • hxxp://mcpons[.com/images/Z.pif
  • hxxp://adamjofi[.com/images/1.rar
  • hxxp://csvbari[.com/plugins/9a.zip
  • hxxp://no[.zitti[.at/jvassets/zarch/xx.dmg
• C2 (tor):
  • 4fsq3wnmms6xqybt[.onion/wpapi/
  • em2eddryi6ptkcnh[.onion/wpapi/
  • nap7zb4gtnzwmxsv[.onion/wpapi/
  • t7yz3cihrrzalznq[.onion/wpapi/
  • 4fsq3wnmms6xqybt[.onion/wpapi/
• C2 (http):
  • f11[.karilor[.at/wpapi/
  • abn[.zitti.[at/wpapi/
  • no[.zitti[.at/wpapi/
  • torafy[.cn/wpapi/
  • zitt[.at/wpapi/
  • f11[.karilor[.at/wpapi/
  • ewopnok[.at/wpapi/
  • yraco[.cn/wpapi/
  • teforyn[.at/wpapi/
  • abn[.zitti[.at/wpapi/
  • xoctom[.at/wpapi/
  • uranom[.at/wpapi/
  • harent[.cn/wpapi/
• Hash:
  • 9fd428e6bf4edaf49843d97e2f8e48cc14f7d5522207cbce6b13468bbfc4d41d (zip)
  • 3e9f6a2397a045fd9f92cfb0c4d4294973bfada2b82a4b06f3b16264d65d2976 (bat)
  • 9565fddbe889d15812dea0aaaf0cc03b1fe4dfa42a1aefd04029977e21d84938 (cab)
  • 5d28f1e26b91ba4623795b781f28ce910aa6ff74a3e11daa40feb5da2eadf8fc (exe)

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index