Ondata di Attacco ZeuS/Panda

 

Proto: N070218.

Con la presente Yoroi desidera informarLa riguardo al recente rilevamento di una nuova ondata di attacco legata alla minaccia ZeuS/Panda ai danni di utenze italiane. Sono state registrate email fraudolente contenenti informazioni riguardo a pagamenti di ipotetiche fatture, le quali presentano in allegato pericolosi documenti Excel in grado di infettare la macchina vittima.



Figura 1. Documento malevolo allegato ai messaggi di posta


La minaccia è in grado di installarsi nel sistema, fornire accesso remoto ai criminali, registrare digitazioni effettuate dalla vittima ed intercettare credenziali inserite durante la navigazione. A seguito delle analisi svolte sono state individuate configurazioni del malware volte a trafugare dati appartenenti a clienti di varie Organizzazioni italiane in ambito bancario e finanziario, in dettaglio:

  • BNL
  • Poste
  • MPS
  • IntesaSanPaolo
  • Cedacri
  • Iccrea Banca
  • Credem
  • Quercia Software
  • BPER
  • Banca Popolare di Sondrio
  • Unicredit
  • ISTITUTO CENTRALE DELLE BANCHE POPOLARI ITALIANE S.P.A.
  • Banco BPM
  • CSEBO

Yoroi suggerisce di comunicare alle Vostre utenze riguardo ai rischi legati a questi tentativi di attacco in quanto le varie componenti della minaccia non risultano al momento estensivamente identificate dai motori AntiVirus. Di seguito si riportano gli indicatori di compromissione individuati:

  • Malspam:
    • Oggetto: “I: PAGAMENTI FATTURE
    • Sender: “segreteria.ipasvisavonasrl  @izrvg. 191 .it
    • Allegato: “9884-2018-(<NOMEUTENTE>).xls” (o similare)
  • Dropurl:
    • https:// bitcloud[.gq/sdk
  • C2:
    • https:// 36952CD19E47].tk/keylogger.bin
    • https:// 36952CD19E47].tk/grabber.bin
    • https:// 36952CD19E47].tk/backsocks.bin
    • https:// 36952CD19E47].tk/vnc64.bin
    • https:// 36952CD19E47].tk/vnc32.bin
    • https:// 36952CD19E47].tk/webinject32.bin
    • https:// 36952CD19E47].tk/webinject64.bin
  • Exfiltration (webInject):
    • https:// elementaleios[.win/alko/in/pp/p.php?
    • https:// elementaleios[.win/kenta/in/bnl/bnl.php?
    • https:// elementaleios[.win/kenta/in/bnl/rp.php?
    • https:// elementaleios[.win/kenta/in/bpergroup/bpe.php?
    • https:// elementaleios[.win/kenta/in/businesswaybnl/bway.php?
    • https:// elementaleios[.win/kenta/in/businesswaybnl/rp.php?
    • https:// elementaleios[.win/kenta/in/cbibanking/x_cbi.php?
    • https:// elementaleios[.win/kenta/in/cedacri/ceda.php?
    • https:// elementaleios[.win/kenta/in/cedacri/ceda_p.php?
    • https:// elementaleios[.win/kenta/in/credem/cr2.php?
    • https:// elementaleios[.win/kenta/in/credem/cr.php?
    • https:// elementaleios[.win/kenta/in/inbank/com.php?
    • https:// elementaleios[.win/kenta/in/intesasanpaolo_pers/int_p.php?
    • https:// elementaleios[.win/kenta/in/intesasanpaolo_pers_old/int_p_old.php?
    • https:// elementaleios[.win/kenta/in/intesasanpaolo/repl.php?
    • https:// elementaleios[.win/kenta/in/intesasanpaolo/spo.php?
    • https:// elementaleios[.win/kenta/in/mps/digital_mps.php?
    • https:// elementaleios[.win/kenta/in/mps/ib_mps.php?
    • https:// elementaleios[.win/kenta/in/popso/pop.php?
    • https:// elementaleios[.win/kenta/in/poste/pin.php?
    • https:// elementaleios[.win/kenta/in/quercia/db.php?
    • https:// elementaleios[.win/kenta/in/relaxbanking/rel.php?
    • https:// elementaleios[.win/kenta/in/tecmarket/tec.php?
    • https:// elementaleios[.win/kenta/in/unicredit/uni.php?
    • https:// elementaleios[.win/seco/in/csebo/cs_login.php?
    • https:// elementaleios[.win/seco/in/csebo/cs.php?
    • https:// elementaleios[.win/seco/in/csebo/online.php?
    • https:// elementaleios[.win/seco/in/poste/poste_main.php?
    • https:// elementaleios[.win/seco/in/relaxbanking/rel_main.php?
  • Hash:
    • 9adfcba2c8a8e25433eb3cb88593d22314d59e0d420f1735df2908df7e7b8881
    • 796f76ee23f02b3ea7db98348e5fd13f601f4843f27277ac64421732c273df58
  • Persistenza:
    • HKCUSoftwareMicrosoftWindowsCurrentVersionRun<NOME_FILE_DI_SISTEMA>.exe


A questo proposito, Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index