Nuove Operazioni di Attacco Gootkit

Proto: N050919.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una nuova campagna di attacco diretta ad Aziende ed Utenti italiani. Gli attacchi mirano a compromettere gli utenti bersaglio con impianti malware della famiglia Gootkit (TH-106). La minaccia è in grado di dare accesso remoto agli attaccanti, intercettare ed alterare il traffico di navigazione utente verso alcuni dei principali portali di bancari italiani e francesi. Sono infatti stati trovati riferimenti a gruppi quali Unicredit, In-Bank, Cedacri, Intesa Sanpaolo, Groupe Banque Populaire, Poste Italiane, Crédit Agricole, CariParma, Crédit Coopératif, BNP Paribas, Caisse D’Epargne, Banco BPM e Raiffeisen all’interno delle configurazioni del malware.

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi:

  • Dropurl:
    • hxxps:// itp.surfpapara[.com/b807112.bin
    • itp.surfpapara[.com
  • C2 (gootkit):
    • hxxps:// web.mavensd[.org/200
    • web.mavensd[.org
    • cdn.areascans[.com
  • WebInject:
    • 185.141.27[.101
  • Hash:
    • 67a96b2a5657bf39971c50e1b0e7f08f742b62bb1dffe45398298806d2e9fdba vbs
    • c18c2e2636ebf84eec95f59b16c3091d02d57ac9f1b9d79fb61e160fb1a32a73 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index