Logo
Hamburger Menu Icon
Yoroi Background

Ondate di Attacchi Danabot

11/20/2018

Proto: N051118.

Con la presente Yoroi desidera informarLa relativamente al recente rilievo di ondate di  attacco appositamente studiate per penetrare all’interno di Organizzazioni ed utenze italiane. La campagna sfrutta messaggi di posta malevoli richiamanti problematiche di fatturazione, all’interno dei quali sono allegati archivi compressi in formato RAR capaci di infettare le vittime.

Gli script vbs contenuti negli archivi sono in grado di rimanere silenti nel sistema per decine di minuti prima di procedere all’infezione dell’host bersaglio con del pericoloso malware della famiglia Trojan/Danabot: impianto in grado di intercettare ed alterare la navigazione internet dell’utente (tecniche Man in the Browser), trafugare credenziali e password presenti nel sistema, in client di posta e browser web, fornire accesso remoto all’attaccante attraverso protocolli VNC e RDP.

Figura 1. Stralcio del traffico malevolo del componente dropper

Di seguito si riporta la lista di indicatori di compromissione individuati durante le analisi:

  • Malspam:
    • Subject
      • FATTURA n940434
      • la fattura n03659
      • la fattura n1528643
      • fattura n<NUM>
    • Attachment
      • Fattura_2011_191.rar
      • Fattura_<NUM>_<NUM>.rar
  • C2 (bushaloader):
    • wikipediasd[.112121111
    • driversearch[.site
    • driversearch[.space
    • hxxps:// driversearch[.site/chkesosod/downs/RjYOUzSl
  • C2 (danabot):
    • 22.173.139[.7:443
    • 99.177.213[.153:443
    • 176.119.1[.99:443
    • 159.41.16[.249:443
    • 115.121.135[.50:443
  • Hash:
    • f7767e1fe2d9bdd6f12724d27e85405e433428c5fb7f22212f0a4bb4476e4cd3 rar
    • 16147267a913fcfcf6d36066515e1eb471a23d4075af274b4520f96d80dfbf50 vbs
    • 8b90b602d6d8f58e21896a62a86aefcb94470e3a2e4dbb603c24e1a50e6cbd67  dll

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index

 

linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram