lunedì 19 giugno 2017

Istituti finanziari italiani sotto attacco: malware diffusi via email di phishing


Il Cert Nazionale Italiano avvisa che i ricercatori della società Yoroi hanno individuato una pericolosa, quando capillare, campagna di email volta alla diffusione di malware verso organizzazioni italiane di vario genere, ma tutte legate all'ambito finanziario. 

Che cosa fa?
Dalle analisi condotte dai ricercatori di sicurezza su più campioni del malware è emerso che lo stesso è in grado di rubare contatti, credenziali di accesso agli account e i cookie presenti sia nei client di posta che nel/nei browser installati sulla macchina bersaglio. 

Le email di phishing
Le email sono scritte in lingua italiana, hanno oggetti quali "info su bonifico" e "conferma di
pagamento" e recano con sé un allegato rinominato, nella maggior parte dei casi, "ordine_065.js": l'allegato ovviamente non è un form per ordinare qualcosa, ma, al contrario, è un downloader. Il dropper infatti scarica ed esegue un file PE dall'indirizzo IP  31.148.99.254. Questo indirizzo sembra appartenere ad una compagnia di telecomunicazioni ucraini che vende, tra gli altri, anche servizi in cloud. Collegandosi a quell'IP si può ricostruire l'impianto di questo malware, composto da più file, probabilmente utili ad fornire più vettori d'attacco (email, inclusioni di tag o di script ecc...)


Lo script JS
Lo scritto, come detto, ha la funzione di downloader: scarica un eseguibile per Windows e lo lancia sulla macchina. E' il secondo stadio dell'infezione: a questo livello il malware implementa tecniche di evasione sia per evitare la rilevazione da parte di antivirus sia l'esecuzione entro una sandbox. 

L'eseguibile PE a sua volta genera in maniera dinamica un altro eseguibile: è il terzo stadio dell'infezione. Questo eseguibile contiene 3 moduli principali che consentono al malware di:
  1. eseguire una verifica sul sistema per verificare l'esecuzione o meno un ambiente  controllato;
  2. disattivare varie funzioni di Windows tra le quali la Gestione Attività e il prompt dei comandi;
  3. decriptare i payload aggiuntivi che vengono iniettati e nascosti entro i processi di sitema. 

Va sottolineato che il malware ha la capacità di installarsi in maniera persistente sul sistema e di attivarsi ad ogni riavvio della macchina. 

Come proteggersi?
1.  Un antivirus con un buon antispam è assolutamente necessario.
2. Non aprire email contenenti allegati sospetti, a maggior ragione se provenienti da mittenti sconosciuti
3. Non aprire email inaspettate o indesiderate. 

Nessun commento:

Posta un commento