venerdì 7 agosto 2020

Ondata di attacchi in Italia: distribuzioni massive di Ursnif, Agent Tesla, FTCode e JasperLoader

Il Computer Security Incident Response Team (CSIRT) italiano ha lanciato una serie di allarmi, tutti molto ravvicinati nel tempo, riguardo ad alcune campagne di diffusione dei malware Ursnif, Agent Tesla, JasperLoader e FTCode. 

Agent Tesla è in distribuzione in Italia, ad ondate, dal 27 Luglio: il 5 Agosto lo CSIRT ha rilasciato nuovi aggiornamenti perchè ha individuato una nuova campagna di email di spam contro utenti italiani che diffonde il malware tramite documenti Office diversi dalla campagna denunciata pochi giorni prima. Le email vettore sono di diverse tipologie, ma impersonificano piccole aziende italiane che indirizzano comunicazioni riservate relative ad ordini e acquisti di merce. Sotto un esempio di email vettore realmente impiegata nella campagna

Fonte: https://csirt.gov.it/

L'allegato contiene una immagine JPG e un file .iso: questo file immagine ISO contiene un eseguibile in formato .EXE che è associato al malware Agent Tesla. 

Lo stesso giorno lo CSIRT ha diramato un alert che riguarda il ritorno alla circolazione del malware FTCode: in dettaglio viene diffuso il malware JasperLoader che poi procede al download e installazione dell'eseguibile del ransomware FTCode (una vecchia conoscenza). Le email vettore sono rivolte ad utenti italiani e contengono link che rimandando ad archivi in formato ZIP: questi contengono, a loro volta, script VBS che, una volta eseguiti, scaricano ed eseguono script PowerShell. 

La maggioranza delle email vettore di questa campagna è camuffata da comunicazioni ufficiali dell'Agenzia delle Entrate, con oggetto del tipo “Avviso dall’ufficio delle imposte dell’Italia”.

Fonte: https://csirt.gov.it/

Nell'esempio in analisi, il corpo email contiene il link hXXp://files.lauragoes[.]com/l/o.php, cliccando sul quale viene avviato il download dell'archivio dannoso: lo script VBS si connette quindi all'indirizzo hXXp://dropbox.lightsculpters[.]com/?need=dfgee52&vid=test2&78528 e procede al download di codice PowerShell che presenta molteplici somiglianze col ransomware FTCode: la particolarità è che questa versione di FTCode è stata privata della componente ransomware, quindi non procederà alla criptazione dei dati sulla macchina della vittima, ma si limiterà al furto dei dati e delle credenziali. L'analisi di questa versione di FTCode infatti ha portato ad individuare specifiche funzionalità di raccolta credenziali da browser come Chrome e Firefox e da client di posta come Outlook. 

Infine è di ieri l'alert che riguarda l'ennesima campagna di distribuzione di Ursnif: l'email vettore ha per oggetto "Rimessa contrassegni a mezzo bonifico bancario (ID00XXXXXX)” con ID variabile. Questa volta, contrariamente ad altre campagne di distribuzione dello stesso malware, le quali riferivano a comunicazioni dell'Agenzia delle Entrate o a fatture non pagate, le email simulano comunicazioni riconducibili al corriere BRT: 

Fonte: https://csirt.gov.it/


Lo schema di infezione è quello classico e ben noto: l'email contiene un documento Excel con una macro VBA. Il documento imita con dovizia di particolari un documento ufficiale del corriere

Fonte: https://csirt.gov.it/

L'abilitazione della macro avvia l'esecuzione di codice, quindi il download del payload del malware in formato .DLL. Il pyaload contatta quindi il server C&C e provvede al download di Ursnif. 

Per tutte le campagne è consigliabile l'implementazione degli indicatori di compromissione nelle soluzioni di sicurezza: invitiamo a riferire al sito https://csirt.gov.it per gli IoC relativi ad ogni singola campagna. 

Nessun commento:

Posta un commento