Ritorno delle Campagne di Attacco Emotet

Proto: N040919.

Con la presente Yoroi desidera informarLa riguardo al rilevamento di nuove attività di attacco legate alla minaccia Emotet (TH-168). Gli attacchi di questa botnet sono ripresi dopo uno stop durato circa due mesi. Ad oggi, stanno infatti circolando nuovi messaggi di posta malevoli diretti ad organizzazioni ed utenti in tutto il mondo, i quali contengono documenti Office in grado di scaricare ed installare varianti del malware Emotet sulle macchine vittima. Tale minaccia è in grado di trafugare password  e digitazioni utente, intercettare ed alterare il traffico di navigazione e fornire accesso remoto sulle reti compromesse ai cyber-criminali.

Figura. Esempio documento malevolo

Di seguito si riportano gli indicatori di compromissione collezionati durante le analisi:

  • Malspam:
    • Allegati:
      • Dane_NNNNNNN_NNNNNNN.doc
      • 2019_MAI_NN.doc
      • 05-2019-NNNNNNN-N.doc
      • Dok NNNNN NNNNNNN.doc
  • Dropurl:
    • hxxp://think1[.com/wp-content/upgrade/2na4-4q5g-751619964/
    • hxxp://broadpeakdefense.[com/fbsgf/McZcBMeM/
    • hxxps://lecairtravels[.com/wp-admin/bXwjcdeg/
    • hxxps://www.biyunhui[.com/fj/wbTKndf/
    • hxxp://nautcoins.[com/wp-includes/AcZxFxQ/
    • hxxps://www.sunflagsteel[.com/wp-content/t3aoh315496/
    • hxxps://hotelkrome.[com/wp-admin/takj055932/
    • hxxps://followergods.[com/fullbackup/hf0ot04663/
    • hxxps://www.startupforbusiness.[com/cgi-bin/fu109020/
    • hxxps://refferalstaff.[com/wp-content/n69/
  • C2:
    • 190.92.103[.7:80
    • 190.55.39.[215:80
    • 190.55.86.[138:8443
    • 179.24.118[.93:990
    • 181.230.126[.152:8090
    • 93.78.205[.196:443
    • 176.58.93[.123:8080
    • 69.164.216.[124:8080
    • 190.13.146.[47:443
    • 139.59.242[.76:8080
    • 149.202.153.[251:8080
    • 159.69.211.[211:7080
    • 203.150.19.[63:443
    • 5.9.128.[163:8080
    • 216.154.222[.52:7080
    • 192.241.175[.184:8080
  • Hash:
    • eee144531839763b15051badbbda9daae38f60c02abaa7794a046f96a68cd10b
    • 0210051eff91fe9393d24f213da566d0b06b8ea7796413b5fd27e75125967850
    • 9e71b69aadd4dfbada4ad76ecdf1c775dbf2858240f27add9d7cb305caa7cdb5
    • 637b66dcfb65e1bcd5943d4a36bb16b3e493f2eb14a3157a3e603210bcfd9685
    • 045c4ab485bd45781234451af0eae62f23abceae375d5434cff37c3e5620f872

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro “cyber”. Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index