martedì 11 giugno 2019

Il trojan GootKit di nuovo in diffusione in Italia via email PEC


Il CERT-PA dirama un nuovo allarme riguardante l'ennesima campagna di distribuzione malware che sta colpendo l'Italia: la campagna in corso, individuata a partire dal 7 Giugno 2019, sta diffondendo una variante di GootKit. 

Le email vettore
Le email vettore sono provenienti da indirizzi PEC appartenenti ai provider legalmail.it, Aruba.it, Register.it: le segnalazioni di ricezione di tali email, oltre a varie PA (ma anche il CERT_PA ha ricevuto direttamente tali email), provengono sia da aziende che da privati. 

Il contenuto dei messaggi fa riferimento a multe e sanzioni per violazioni del codice stradale da parte della Polizia Locale di Arezzo (che, ovviamente, è estranea al contesto in analisi). L'oggetto delle email è del tipo:

“Atto amministrativo relativo ad una sanzione amministrativa prevista dal Codice della Strada Nr. Y/xxxxxx/2019”.

Tutte le email recano, come allegato, un file compresso in formato ZIP il cui nome è simile a “AttoAmministrativoXXXXXX.zip“ dove XXXXXX sta per una sequenza di numeri casuali. 

Fonte: CERT-PA

L'archivio compresso contiene un file Excel denominato "ScanXXXXXX", in estensione .xlsm e con XXXXXXX che è una sequenza di numeri casuali. L'apertura di questo file comporta l'esecuzione dello script dannoso e quindi l'avvio della catena di infezione: è infatti questo script il responsabile del download della variante di Gootkit sulla macchina infetta. 

GootKit: cosa è e perchè è un problema per l'Italia
Di GootKit stiamo parlando spesso nell'ultimo periodo. I dati del CERT-PA (rimandiamo a questo articolo per approfondimento) rivelano come GootKit faccia parte di un gruppo di malware che vengono ciclicamente diffusi contro utenti italiani. In alcune campagne GootKit è diffuso assieme ad un altro malware, Ursnif. 

La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c'è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso, intercettare comunicazioni di rete, smart card inserite ecc... La versione attualmente in diffusione, come detto una nuova variante, ha una funzione aggiuntiva: installa backdoor sui sistemi infetti permettendo agli attaccanti di assumere il controllo delle macchine delle vittime. 

Nessun commento:

Posta un commento