Ondata di Attacchi verso Organizzazioni Italiane

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una pericolosa campagna di attacco email diretta verso il panorama italiano. I tentativi di attacco individuati fanno leva sull'utilizzo di email fraudolente appositamente create per simulare la condivisione di un documento tramite la piattaforma Google Drive, ingannando l’utente e redirigendolo verso destinazioni malevole.

Nel dettaglio, le comunicazioni fraudolente contengono un link ad un sito di distribuzione malware a valle dei servizi di Content Distribution di CloudFlare: se viene cliccato, dal collegamento si scarica un “archivio personalizzato” contenente uno script “.jse” in grado di infettare l’host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all'attaccante, intercettare digitazioni ed attività utente (e.g. attività su portali web).

Figura 1. Script ".jse" malevolo offuscato

La campagna di attacco risulta di particolare rilievo in quanto inganna l’utente proponendo un link verso servizi noti e nel contempo sfrutta la buona reputazione degli indirizzi di rete della CDN CloudFlare. Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi condotte:

• Dropurl:
  • https:// drive[.carlsongracieanaheim[.com/doc.php
  • https:// drive[.carlsongracieanaheim[.com/doc1.php
  • https:// drive[.carlsongracieanaheim[.com/x/gate.php
  • https:// drive[.carlsongracieanaheim[.com/1/gate.php
• C2 (tor):
  • https:// 4fsq3wnmms6xqybt[.onion/wpapi
  • https:// em2eddryi6ptkcnh[.onion/wpapi
  • https:// nap7zb4gtnzwmxsv[.onion/wpapi
  • https:// t7yz3cihrrzalznq[.onion/wpapi
• C2:
  • https:// loop.evama.[at/wpapi
  • https:// torafy[.cn/wpapi
  • https:// u55.evama[.at/wpapi
  • https:// yraco[.cn/wpapi
  • https:// inc.robatop.[at/wpapi
  • https:// poi.robatop.[at/wpapi
  • https:// arh.mobipot.[at/wpapi
  • https:// bbb.mobipot.[at/wpapi
  • https:// takhak.[at/wpapi
  • https:// kerions.[at/wpapi
  • https:// j11.evama[.at/wpapi
  • https:// clocktop[.at/wpapi
  • https:// harent.[cn/wpapi
• Hash:
  • 067b39632f093821852889b1e4bb8b2a48afd94d1e348702a608a70bb7b00e54 zip
  • 77ad9ce32628d213eacf56faebd9b7f53e6e33a1a313b11814265216ca2c4745 jse
  • 1fdc0b08ad6afe61bbc2f054b205b2aab8416c48d87f2dcebb2073a8d92caf8d exe
  • afd98dde72881d6716270eb13b3fdad2d2863db110fc2b314424b88d85cd8e79 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index