Sono ben due le campagne di email di spam che, in queste ore, stanno bersagliando utenti italiani per diffondere ransomware. La prima campagna di email di spam, individuata dal ricercatore di sicurezza JAMESWT, diffonde il ransomware Maze, mentre la seconda, individuata dal Cert-Pa, veicola una versione rivista di FTCode. In entrambi i casi le email sono "travestite" da comunicazioni ufficiali dell'Agenzia delle Entrate, di Sogei, dell'Inail ecc... Vediamole entrambe in dettaglio
1. FTCode: il ransomware che diventa infostealer
L'alert, l'ennesimo, del Cert-PA riguardante FTCode è di ieri mattina: è stato infatti rilevata una massiva campagna di email di spam che distribuisce una versione rivista del famigerato ransomware. In dettaglio sono state aggiunte funzionalità di infostealing, principalmente per sottrarre username e password salvate in alcuni popolari software come Firefox, Chrome, Outlook, Internet Explorer, Thunderbird.
Anche in questo caso c'è un vasto utilizzo di email PEC compromesse in precedenza: ciò rende particolarmente insidiosa questa campagna, sia perchè i mittenti sono sempre diversi, sia perchè il canale PEC e l'oggetto email fanno sembrare tali comunicazioni, in tutto e per tutto, ufficiali e legittime.
Il Cert-PA ha pubblicato alcuni oggetti email collegati alla campagna, che riportiamo, per quanto non siano assolutamente esaustivi delle varie tipologie di email vettore.
- esposto circa la SOGEI
- candidatura Profilo F1
- 272435426
- Ricevuta protocollo
- INAIL Comunica [9633468]
- Fatture Ottobre 2019
- POSTA CERTIFICATA: Candidatura profilo F2
- ReRicevuta protocollo
- Nota prot n 114438 del 18092019
- 5Piano Triennale per l’informatica nella Pubblica Amministrazione 20172019 Definizione dei piani di adesione e attivazione a PagoPA
- AVVISO 012016profilo F2
Nell'impossibilità di individuare ed elencare tutti gli account PEC compromessi o tutti gli oggetti email caratteristici di tale campagna, consigliamo di ritenere sospetti tutti i messaggi PEC in cui l'oggetto è usato ANCHE SOTTO FORMA DI LINK (vedi foto sotto)
Fonte: https://www.cert-pa.it/ |
Il meccanismo di infezione è sempre lo stesso: il link redirige verso fonti esterne dalle quali è in download un archivio ZIP che contiene un file con estensione VBS responsabile dell'infezione.
Indicatori di compromissione qui >> IoC.txt
2. Maze colpisce gli utenti italiani "travestendosi" da Agenzia delle Entrate
Il ricercatore di sicurezza JAMESWT ha denunciato una campagna di email di spam caratterizzata da false comunicazioni dell'Agenzia delle Entrate che distribuisce un ransomware ad ora poco diffuso in Italia, ovvero Maze. La peculiarità è che la campagna è studiata appositamente per utenti italiani sia nel contesto simulato dalle email di spam, sia nei nomi e contenuti degli allegati.
Le email hanno, come oggetto "AGGIORNAMENTO: Attività di contrasto all'evasione" e contiene un documento Word denominato VERDI.doc. Al documento, come si vede nell'immagine sotto, fa riferimento il corpo email, specificando che esso conterrebbe linee guida che è obbligo seguire per imprese e singoli cittadini: questa è una tecnica di ingegneria sociale per convincere l'utente a scaricare e visualizzare il documento.
Fonte: https://www.bleepingcomputer.com |
Se l'utente apre l'allegato VERDI.doc, vedrà una richiesta di Abilitazione contenuti: nel testo viene specificato che il contenuto del documento è criptato usando l'algoritmo di criptazione AES e senza l'abilitazione del contenuto non sarà possibile visualizzarlo.
|
In realtà questo piccolo espediente serve a far si che l'utente abiliti la macro dannosa contenuta nell'allegato .doc: questa macro scaricherà l'eseguibile in C:\Windows\Temp\wupd12.14.tmp e lo eseguirà.
Maze, una volta lanciato, cripterà i dati contenuti nel disco e nelle condivisioni di rete, quindi modificherà lo sfondo del desktop con l'immagine sotto, contenente alcune informazioni e dove trovare la nota di riscatto.
Fonte: https://www.bleepingcomputer.com |
La nota di riscatto è chiamata DECRYPT-FILES.txt e contiene le istruzioni per connettersi, ovviamente via Tor, al sito di pagamento di Maze: l'ammontare del riscatto per ottenere la chiave di decriptazione varia, nel caso in oggetto è di 1.200 dollari U.S.A.
Nessun commento:
Posta un commento