Ondate di Email fraudolente “Equitalia”

 

Proto: N090318.

 

Con la presente Yoroi desidera informarLa riguardo al rilevamento di una ondata di email fraudolente ai danni di organizzazioni italiane: i messaggi di posta intercettati tentano di impersonare comunicazioni urgenti legate a preavvisi di fermo e/o fascicoli di “Equitalia“.



Figura 1. Schermata all’apertura del link malevolo


Le email contengono link a portali web fittizi studiati per indurre la vittima allo scaricamento di archivi compressi contenenti un file eseguibile armato da varianti malware della famiglia Pony/Fareit: minaccia in grado trafugare account e credenziali salvate all’interno dell’host vittima, ad esempio login su portali web, account di posta, credenziali per servizi ftp). Al fine di non insospettire le eventuali vittime, il malware è configurato per estrarre ed aprire un particolare documento pdf di “Agenzia Entrate”:



Figura 2. PDF automaticamente aperto dal malware al termine dell’esecuzione


Di seguito si riportano gli indicatori di compromissione individuati a seguito delle analisi:

  • Dropurl:
    • 185.82.200[.37
    • web202[.tk
    • web209[.tk
    • web909[.ml
    • web912[.tk
    • alt903[.ml
    • web004[.tk
    • alt003[.gq
    • alt004[.cf
    • alt004[.ga
    • alt004[.gq
    • alt004[.ml
    • alt009[.ml
    • alt300[.cf
    • alt300[.ga
    • alt300[.gq
    • alt393[.ga
    • alt399[.tk
    • alt556[.ga
    • alt556[.ml
    • alt902[.cf
    • alt903[.ga
    • alt903[.tk
    • alt938[.ga
    • web004[.gq
    • web009[.ml
    • web501[.cf
    • web501[.ml
    • web501[.tk
    • web902[.cf
    • web902[.ga
    • web902[.tk
    • web913[.gq
    • web938[.gq
    • alt903[.cf
    • alt393[.gq
    • alt209[.ml
    • web209[.cf
    • web556[.ga
    • web209[.ga
    • web004[.ga
    • alt003[.cf
    • alt003[.ga
    • alt004[.tk
    • alt009[.cf
    • alt009[.gq
    • alt209[.cf
    • alt209[.gq
    • alt209[.tk
    • alt393[.cf
    • alt393[.ml
    • alt399[.cf
    • alt399[.gq
    • alt902[.ga
    • alt902[.tk
    • web003[.gq
    • web004[.cf
    • web009[.cf
    • web209[.gq
    • web393[.gq
    • web399[.ml
    • web503[.tk
    • web556[.ml
    • web902[.ml
    • web903[.gq
    • web938[.cf
    • hxxp:// web556[.cf/file-sicuro-854718
    • hxxp:// alt004[.ml/file-sicuro-854718
    • hxxp:// web503[.ml/file-sicuro-854718
    • hxxp:// web903[.gq/file-sicuro-854718
    • hxxp:// web209[.cf/file-sicuro-854718
    • hxxp:// web556[.gq/file-sicuro-854718
    • hxxp:// web556[.ml/file-sicuro-854718
    • hxxp:// alt004[.cf/file-sicuro-854718
  • C2:
    • 46.183.[223.240
    • hxxp:// 46.183[.223.240/p/gate.php
  • Hash:
    • 0bbe10032de182d0c2f67bba74754e60849470e723bda82bd98c96f0f0c8b63f
    • 11d42db4300e1ffcb0e78ae84cd67ac215611f9b2786dc52254fb4a3fcacfd24
    • 135cbecaeb806ffe7153bcf81fb51a4d7dc7e1c9c99207dacda2970f4fe6d141
    • 17fb1770932ff352a634defaa709475fa62bbf62e36991cae554b7f778a3bcf5
    • 1ffb955161f51bde99b8d0a6b3fd39a5ee499275f0d4353650442dc73c2c7586
    • 2e18c6ee255e996464096f5be5773cd69da4b269e7624bb94fb6609ed2da24d0
    • 3740d3e69e7a8ce5370857bea1d19eeb6d90ee12a8247809f42619d4740eba11
    • 3b00c8ad22c60da3dbdf2eb0650d4cb218dc3cf13e437c98787173958148fb3e
    • 3e05af6de618417c51bfe1e052ae84f0c9f8afb72700141a916af3b921525f2b
    • 4790d826085d6911d5a1dd4c308edbe75011597ad2bd01f529945b097ec26cfd
    • 4819af1599b8df94215d6924d7b11a81060f321761e33eb742b731046d19d667
    • 544e154d2fcf70d0bc7c47826cabadf000c6090674fef59368787e0634d0b977
    • 57c5c11b18866abcf3c127970c6f6901fcce2db21873cfa42ec6b06503226a62
    • 64aabe23b88015b02b2a9265743b3576891581c88dbf559fb80f46107dc6fd56
    • 67f5bcf67ea63efd5d1f0727a20a9f1be7f378bc5a96754941b5c43514098641
    • 690c0b5a67689b97010bbb8dfe8881a529eade30edbed15a5219616fd4e2aaa6
    • 6fda9417b96fd66ea25dbf436e1bb43474153edf5a61843dbdf969bf28fecc7e
    • 714072f5161f07f65c639670601af3fc53ff24a4d70eb386e6a3fabe21214ad8
    • 719ecdb17dfe2722a2994a2d03ca7ce425941f96f0997b3eae28d41ab3e76612
    • 74ad391ecfa704314e1e06fc4053cd5f1da59b860656f60367543163ba74780a
    • 78d79bbe14f2cb67d7faf5360918f2b8920ae4e6c625e5a4933e8e6380e8772c
    • 7fef95bae6fa592435a7757800a3812e8050e9face148e733f9fe2ebc8d51396
    • 8bd51277800ab8826fdcde2bbbec1f675ea87d2753fa533969eaeb622f665407
    • 9287be2d3378c5d9eaedc9a0a51e156e1e193585a93f3a2594fbcdff753acb43
    • 9a4ae0e9eaff555e7d79a517c67821ac7f8a0e030c7d1dd2491581d2a94ba5bf
    • 9dad8b77becb074e757fe4c3f5bcb6d4a4a069f2a6459648cc68f2bb1d077760
    • a613a1e852e123e183e305815cbfc455f5f7e43b4843189cc0ab3ae649fa7f34
    • a727a4d5568223115c7e374ac62b7313e29bbf0bc846ddd32b9944bd379c9f4b
    • af58937a09397a77196374709d1b84daccddcd362aeff1e7e9d1de17a0a6e4da
    • b44d90beb1b784175c2446a9d96e61516f1c5239f0b6afa04c5e34f69e769da9
    • bf2ddcb1274fa1c86c31137dd2aa970e575de4e2c6e32d77b89cef984f01cf28
    • bf96ce3428cfdeac25921642e720bda27ec928eb27661ebc238821ae025fd6d5
    • c30a297ca799c2a23f75686b4401e5d53fc11a8f64d708a415a77b05e76355b5
    • c370089ac20044c531982c3ec571fc868f2c541b9e19b0c56dcaa067ee6420fa
    • c5f285d60fa74e66d5d8f210efe126817bbfce3b53f55aa5e5a33fafe487338a
    • c8c4b9140616b3ab32ed3a8a53323e4d521923730521e39082bbd4ad2ca4274a
    • cccc4562fe8813e56581b63a41dd687dd4317cabf1e3b217abf978b31a7b7c38
    • d244ba2cdad6965adcebd585829fb1098ea517327dec20e64a90bbbc8a69746c
    • da9f8ba8893126b1ccb808ccdc8b07125a7cdf2348956dbb0c7f2cac92425811
    • 86137c3a46ef9d7a89a4b19d4bacdd66f08e60569eb3118dd551f267800a5a11

Yoroi consiglia di mantenere alto il livello di guardia all’interno della vostra organizzazione, monitorare potenziali rischi di sicurezza, mantenere signature e sandbox aggiornate e verificare periodicamente la sicurezza degli apparati di rete. Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. 
Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index