martedì 14 maggio 2019

Ancora PEC sotto attacco: campagna di email diffonde il malware Gootkit


Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti. 

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l'utente ad aprire l'allegato descrivendolo come una fattura non liquidata. 


Email esempio. Fonte: Yoroi Blog

L'allegato, in formato .ZIP, non contiene alcuna fattura, ma script VBS che scaricano e installano sulla macchina della vittima il malware bancario Gootkit, ormai una vecchia conoscenza degli utenti italiani. Sono già decine le campagne, tutte molto simili, mirate a diffondere questa famiglia di malware agli utenti aziendali e delle PA italiani. 



Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient'affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia.  La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c'è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso, intercettare comunicazioni di rete, smart card inserite ecc... 

Indicatori di compromissione

  • Mittente: xxxxx@pec.it
  • Oggetto: bonifico a VS favore XXXXX (serie casuale di numeri)
  • Server di comando e controllo:
    C2(gootkit):
    185.158.249[.144
    ssw.138front[.com
    martatov[.top
    ami.sigaingegneria[.com
    erre.effe-erre[.es
    filuetrama[.top
  • Hash dei file:
    EXE: d2fe4bb28c995b71fa6739d870117aa34b0ce3ed1b3b8359a1a244549fe873df
    VBS: 365749d27244bef550e760f96e26771d997891f9fc13254aee81b15ac8422df2
Pubblicato da alle
Etichette: , ,

Nessun commento:

Posta un commento

Iscriviti a: Commenti sul post (Atom)