Ondata di Attacco verso Organizzazioni Italiane (Malspam)

 

Proto: N010717.

Con la presente Yoroi desidera informarLa riguardo ad una campagna di attacco in corso ai danni di organizzazioni italiane: gli attacchi si manifestano attraverso la ricezione di ondate di email fraudolente che simulano comunicazioni da parte del corriere “DHL” ed avvisi relativi ad indebitamenti. Le email sono caratterizzate da:

  • Oggetto:
    • “VS SPEDIZIONE DHL AWB ?????????? proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
    • “DHL Express Info spedizione”
    • “Avviso in merito a indebitamento. Ordinanza №IT????????”
  • Allegati:
    • “DL????????.zip”
    • “DT???????.zip”
    • “TD???????.zip”
    • “LR???????.zip”
    • “LT???????.zip”
  • Sender: vari, ad esempio
    • “Dhl” <zeichnung@ koehl-sondermaschinen .de>, “DHL-info” <licia.neroni@ seba-arredobagno .it>, “DHL information” <dcolonna@ lazaco .it> , “Pack Dhl” <info@ puglialtosalento .it> ,
    • “Notifica di rimborsi fiscali” <assistenza@ regaelettronica .it>, “Servizio fiscale” <smtp@ comune.avegno .ge. it>

Gli allegati ZIP presenti all’interno dei messaggi di posta fraudolenti contengono file eseguibili HTA (HTML Application) in grado attivare funzionalità malevole arbitrarie e di scaricare ed eseguire ulteriore malware a seguito di particolari necessità da parte del gruppo cyber-criminale che sta operando gli attacchi in corso. Il malware rilevato appartiene alla categoria dei Trojan/Downloader ed ha elementi in comune con ulteriori ondate di attacco osservate nel periodo tra maggio e giugno 2017: ad esempio email “Saldo fattura del 10_05_2017” e “FATTURA NO. 480 del 23.06.17” (rif early-warning N070617). Fonti di Threat-Intelligence indicano il recente utilizzo dell’infrastruttura di Trojan/Downloader rilevata per l’installazione di ulteriore malware legato a varianti malware della famiglia Andromeda.

Gli allegati malevoli non risultano al momento estensivamente rilevati dalle principali soluzioni anti-virus/anti-malware, per tale ragione Yoroi consiglia di sensibilizzare i vostri utenti relativamente all’apertura di contenuti email inattesi.


av.png


 
A seguito delle analisi interne sui campioni individuati si riportano gli indicatori relativi all’ondata di attacco:

http://www.amministratore-di-condominio.]it/r6.php?eVgHM=qWBWDLhSsL&group=HTAIT
http://www.eurobiosspa.]it/r6.php?MAvdlmGmuMr=eZKmXNpvqmeluj&group=HTAIT
http://karolbunsch.pl/r6.php?gHxkDQ=BGjrtAHZxMzXaB&group=HTAIT
http://masigreen.]it/r6.php?QCKwA=OpMlBEP&group=HTAIT
http://www.amministratore-di-condominio[.it/r6.php?GQBKlaBIYEtQsVd=YJMmdZGBiR&group=HTAIT
http://www.edilmarmoceramic[.it/intarsi/r6.php?LfWCcvzudE=gXcqLPp&group=HTAIT
http://www.icom-srl.[com/r6[.php?IBcyMMjzeWvxrk=okVnAP&group=HTAIT
http://www.icom-srl.]com/r6[.php?yNrXp=nvKGBR&group=itbiz
http://www.smpromotion.[it/r6.php?YLOuDuRRsK=pvXvNAtIZJp&group=HTAIT
http://www.lamarmiferasrl.]it/r6.php?EESFGdT=sJtdpfg&group=HTAIT
http://www.amministratore-di-condominio].it/r6.php?mnsvClLUtXeVw=kbeeWuEjVdN&group=itbiz
http://www.exportaly].com/r6.php?FQlSPH=BAbxIYElFmH&group=itbiz
http://www.perauto].net/r6.php?eAIFNTXL=JjwVv&group=itbiz


(Alcuni dei parametri delle richieste HTTP potrebbero variare)


Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”.
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index