Nuova ondata di Email Malevole “Relata di notifica atto”

Proto: N071018.

Con la presente Yoroi desidera informarLa relativamente al rilievo di nuove ondate di attacco legate alla campagna di infezione malware mirata ad Organizzazioni italiane descritta all’interno dell’Early Warning N031018. Sono infatti stati recentemente intercettati nuovi e molteplici invii di messaggi di posta fraudolenti che simulano la consegna di notifiche di atti giudiziari, invitando le vittime all'apertura di documenti pdf ospitati sulla piattaforma ad alta reputazione Google-Drive.

Figura 1. Documento pdf malevolo

Analogamente a quanto precedentemente rilevato, il documento “705.pdf” contiene un collegamento alle infrastrutture di scaricamento malware degli attaccanti: qui viene servito un archivio compresso nominato “Nuovo documento 1.zip” al cui interno è inserito uno script vbs malevolo capace di scaricare pericolose varianti malware della famiglia Trojan/Ursnif, in grado di intercettare digitazioni, credenziali, sessioni di lavoro e fornire accesso backdoor agli host compromessi.

Figura 2. Script VBS malevolo offuscato

Di seguito si riportano gli indicatori di compromissione individuati:

• Malspam:
  • Oggetto:
    • "Relata di notifica sentenza #<10NUM> Del DD/MM/18"
  • Mittenti:
    • @hobokengourmetcatering .com
    • @healthychoicenyc .com
    • @healthychoicekitchenbushwick .com
    • @holechanphilly .com
    • @hobokenburritonyc .com
    • @healthkingmidtown .com
    • @healthfullyorganicmarketnyc .com
    • @holeycreamnyc .com
    • @hobokenburritonyc .com
    • @hobokengourmetcatering .com
    • @hollywoodchicshollywood .com
• Dropurl:
  • hxxps ://drive.google[.com/file/d/1nmXBN6clkUNByRiNXIvqEJeyxygQLORS/view
  • hxxps ://drive.google[.com/file/d/1czUcMDCAQe1COhkN59zbMsBscr3RCjTL/view
  • hxxps ://drive.google[.com/file/d/1Dj787P7vlyM51nDhc_mI9HJ1pO_UF1n9/view
  • http:// nupp.810delicafe[.com/jogptfbuu=w?bba=1
  • http:// kiki.33gourmetdelinyc[.com/pagjfut54.php
  • kiki.33gourmetdelinyc[.com
  • nupp.810delicafe[.com
  • nopp.ajisaijapanesenyc[.com
  • mino.aghapyfoodridgewood[.com
• C2 (ursnif):
  • 195.123.237[.165
  • loads[.smallworld-parties[.com
  • hxxp:// loads.smallworld-parties[.com/images/
• Hash:
  • 66d7b726ccc02c873d947b9b9968664dd7b1eaf534edc84138bbc67dc2977749  zip
  • c480986ec7bd8cf2dcba58e2f5e8c90345f2a478aec07405273f7112a72baab7 vbs
  • 07ec43f438865d3b5e91b6e49de15c44023ad48ee86acfb84b8618f87b6e932c exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index