Ondata di Attacco verso Organizzazioni Italiane (Malspam)
07/06/2017
Con la presente Yoroi desidera informarLa riguardo ad una campagna di attacco in corso ai danni di organizzazioni italiane: gli attacchi si manifestano attraverso la ricezione di ondate di email fraudolente che simulano comunicazioni da parte del corriere "DHL" ed avvisi relativi ad indebitamenti. Le email sono caratterizzate da:
- Oggetto:
- “VS SPEDIZIONE DHL AWB ?????????? proveniente dalla GRAN BRETAGNA **AVVISO DI GIACENZA **”
- “DHL Express Info spedizione”
- “Avviso in merito a indebitamento. Ordinanza №IT????????”
- Allegati:
- “DL????????.zip”
- “DT???????.zip”
- “TD???????.zip”
- “LR???????.zip”
- “LT???????.zip”
- Sender: vari, ad esempio
- "Dhl" <zeichnung@ koehl-sondermaschinen .de>, "DHL-info" <licia.neroni@ seba-arredobagno .it>, "DHL information" <dcolonna@ lazaco .it> , "Pack Dhl" <info@ puglialtosalento .it> ,
- "Notifica di rimborsi fiscali" <assistenza@ regaelettronica .it>, "Servizio fiscale" <smtp@ comune.avegno .ge. it>
Gli allegati ZIP presenti all'interno dei messaggi di posta fraudolenti contengono file eseguibili HTA (HTML Application) in grado attivare funzionalità malevole arbitrarie e di scaricare ed eseguire ulteriore malware a seguito di particolari necessità da parte del gruppo cyber-criminale che sta operando gli attacchi in corso. Il malware rilevato appartiene alla categoria dei Trojan/Downloader ed ha elementi in comune con ulteriori ondate di attacco osservate nel periodo tra maggio e giugno 2017: ad esempio email “Saldo fattura del 10_05_2017” e “FATTURA NO. 480 del 23.06.17” (rif early-warning N070617). Fonti di Threat-Intelligence indicano il recente utilizzo dell’infrastruttura di Trojan/Downloader rilevata per l’installazione di ulteriore malware legato a varianti malware della famiglia Andromeda.
Gli allegati malevoli non risultano al momento estensivamente rilevati dalle principali soluzioni anti-virus/anti-malware, per tale ragione Yoroi consiglia di sensibilizzare i vostri utenti relativamente all’apertura di contenuti email inattesi.
A seguito delle analisi interne sui campioni individuati si riportano gli indicatori relativi all'ondata di attacco:
http://www.amministratore-di-condominio.]it/r6.php?eVgHM=qWBWDLhSsL&group=HTAIT
http://www.eurobiosspa.]it/r6.php?MAvdlmGmuMr=eZKmXNpvqmeluj&group=HTAIT
http://karolbunsch.pl/r6.php?gHxkDQ=BGjrtAHZxMzXaB&group=HTAIT
http://masigreen.]it/r6.php?QCKwA=OpMlBEP&group=HTAIT
http://www.amministratore-di-condominio[.it/r6.php?GQBKlaBIYEtQsVd=YJMmdZGBiR&group=HTAIT
http://www.edilmarmoceramic[.it/intarsi/r6.php?LfWCcvzudE=gXcqLPp&group=HTAIT
http://www.icom-srl.[com/r6%5B.php?IBcyMMjzeWvxrk=okVnAP&group=HTAIT
http://www.icom-srl.]com/r6%5B.php?yNrXp=nvKGBR&group=itbiz
http://www.smpromotion.[it/r6.php?YLOuDuRRsK=pvXvNAtIZJp&group=HTAIT
http://www.lamarmiferasrl.]it/r6.php?EESFGdT=sJtdpfg&group=HTAIT
http://www.amministratore-di-condominio].it/r6.php?mnsvClLUtXeVw=kbeeWuEjVdN&group=itbiz
http://www.exportaly].com/r6.php?FQlSPH=BAbxIYElFmH&group=itbiz
http://www.perauto].net/r6.php?eAIFNTXL=JjwVv&group=itbiz
(Alcuni dei parametri delle richieste HTTP potrebbero variare)
Yoroi consiglia inoltre di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber".
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
