giovedì 4 aprile 2019

False comunicazioni INAIL diffondono il malware Gootkit via PEC


Il periodo nero per l'Italia, dal punto di vista della sicurezza informatica, non accenna a finire: l'attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso. 

L'email vettore
Le email di questa campagna hanno come oggetto "INAIL Comunica XXXXXXXX" dove XXXXXXXX sono 8 cifre casuali: il dominio di provenienza di queste email è legalmail.it. 


L'email contiene due file allegati:
  • INAIL_Comunica_XXX.ppdè un file XML, che si presenta come (falsa) denuncia. E' una tecnica piuttosto comune di ingegneria sociale: lo scopo è indurre nella vittima un senso di urgenza e importanza, rendendo l'utente più nervoso, meno attento e più disposto a seguire istruzioni.
  • INAIL_Comunica_YYY.vbsè uno script, il cui compito è scaricare il malware GootKit ed eseguirlo sul computer della vittima. Questo script, se eseguito, oltre a lanciare Gootkit installa anche un secondo script in formato JS che ha funge da client della botnet usata dagli attaccanti stessi. Tramite questi client i cyber attaccanti possono scaricare ed eseguire ulteriori file e lanciare altri script seguendo le indicazioni provenienti dal server di comando e controllo, locato nel dominio sad.childrensliving.com. 


Il file VBS esclude dall'infezione, dopo verifica della lingua impostata sul sistema, i seguenti paesi:
  • Russia
  • Ucraina
  • Bielorussia
  • Cina

Il campione analizzato da CERT-PA dimostra un comportamento piuttosto chiaro: il server C&C fornisce una serie di indirizzi email, quindi istruisce il computer della vittima a diffondere il malware tramite un server IMAP. I ricercatori sospettano che questo server IMAP sia stato precedentemente compromesso e che sia italiano, stando ai messaggi di errore che rimanda.  Al termine dell'invio email, tutte le email inviate sono cancellate dal server. 

Fonte: https://www.cert-pa.it

Gootkit ha preso di mira l'Italia
Le campagne di malspam che diffondono Gootkit sono in forte aumento, così come l'uso di email PEC compromesse. Utilizzare email PEC compromesse è una mossa intelligente, ahinoi, per gli attaccanti dato che sono considerate sicure e sicuramente legittime e indubbiamente inducono l'utente che le riceve a ritenere quelle email comunicazioni ufficiali e attendibili.

Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient'affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia.  La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c'è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso.

Qui gli indicatori di compromissione (IoC) pubblicati dal CERT-PA --> 
https://www.cert-pa.it/wp-content/uploads/2019/04/IoC_inail_comunica_030419.txt

Nessun commento:

Posta un commento