I ricercatori Yoroi hanno individuato una nuova campagna massiva di attacco rivolta a molte organizzazioni e aziende italiane. Tramite l’invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione, lo spam contribuisce a diffondere una nuova variante del trojan Gootkit che mira a infettare i PC di migliaia di utenti con lo scopo di appropriarsi di credenziali bancarie o intromettersi direttamente nelle attività di banking on-line degli utenti.
All’interno delle email recapitate è presente un collegamento ad un archivio compresso Nuova immagine bitmap (2).zip contenente in realtà uno script malevolo scritto in JavaScript. Una volta eseguito, lo script simula l’apertura di un documento in formato PDF, ma in realtà procede ad installare il nuovo malware della famiglia del trojan Gootkit. Una volta in esecuzione, il trojan è in grado di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.
Indice degli argomenti
Analisi tecnica del trojan Gootkit
La nuova campagna di spam è stata molto ben architettata dai criminali informatici. Dopo aver aperto l’allegato infetto, sullo schermo appare una circolare in formato PDF apparentemente inviata dall’Ordine degli avvocati di Belluno.
Ovviamente, il documento è solo uno stratagemma usato dai criminali per ingannare l’utente che in questo modo crede di trovarsi di fronte ad una comunicazione inviata per errore dal mittente e procede quindi a cancellarla dalla mailbox. Nel frattempo, però, il trojan ha avviato la catena di infezione del PC, installando un sistema che intercetta e spia quello che compie l’utente, in particolare quando opera in ambito bancario, ma non solo.
Il malware è stato individuato dai ricercatori di sicurezza mediante i seguenti indici di compromissione:
Malspam:
- Oggetto: “L’ordine N. YT <CIFRE> Spedito A Domicilio”
Dropurl (zip):
- hxxp:// followjerry[.com/FilesDownload.php?id_msg=d3i8HVJuMuXGTR4B
- hxxp:// annakennedy.]co.uk/documentload.php?jwh=3Dt4bR1tn
- hxxp:// iwantmylifeback.]co.uk/documentload.php?jwh=3DK1irEDC
Dropurl (exe):
- hxxps:// della.themeshigh[.com/crowded/first.sip
- hxxps:// scopri.wpeverimport[.com/great.lib
- hhackzgjnjfwbuttuzjo[.com
- betjzoqxlezo[.com
Decoy url (pdf):
- hxxps://www.ordineavvocatibelluno[.com/upload/news/circolare%20software%20formazione%202018.pdf
C2 (Gootkit):
- 176.10.125[.51
- bannerskeepers[.com
- eldak.brucewjohnson[.net
- ch.digitalandanalog[.co[.in
Hash:
- 7e3cfd03d5e97a01dd9c613ba37803cb78d88a86a7e69101618121b9db418bed – File ZIP
- f0d0099cd0d82a14cd0c1986fa6f22af3709e0db357c3c70eb33974f3ced3773 – File JS
- 45eecfcbc8a65f4e3bdf377e3d68a193035351c77dc33fc2a7e5439ada78c8db – File EXE
- 7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820 – File EXE
Attenti allo spam: una lezione per le aziende
“I messaggi di posta elettronica sono ancora uno dei vettori più utilizzati dai malware per diffondersi e infettare il maggior numero di utenti possibili, perché spesso è il mezzo più economico ed efficace. Il vantaggio, per gli utenti, è che con un minimo di attenzione e consapevolezza si possono ridurre drasticamente i rischi d’infezione” è il commento di Paolo Dal Checco, Consulente informatico forense.
Secondo Dal Checco, infatti, “nella stragrande maggioranza dei casi la semplice apertura dell’email non causa alcun danno e l’utente ha ancora la possibilità di capire che è invece importante non aprire l’allegato. Quando l’allegato è un archivio ZIP, tra l’altro, la semplice decompressione può essere ancora innocua mentre un secondo doppio clic sul contenuto dell’archivio ne causa la vera e propria attivazione”.
Qual è, allora, il consiglio migliore per non correre rischi? Il suggerimento di Dal Checco è “di non aprire o decomprimere allegati di cui non si è certi. Massima attenzione va posta anche nel caso in cui il mittente è noto, perché spesso i malware utilizzano le rubriche delle vittime per diffondersi ai loro contatti”.
Un altro prezioso consiglio di Dal Checco, qualora avessimo comunque necessità di aprire l’allegato, è quello di “farlo utilizzando la funzione “Apri” di software come Word Viewer o Excel Viewer (gratuiti e ottimi per visionare documenti Office senza correre rischi d’infezione) oppure utilizzare visualizzatori di documenti online, come se ne trovano tanti sul Web. In ultimo, un antivirus – per quanto non garantisce l’immunità – è comunque un buon supporto per identificare malware noti e anche meno noti, grazie a funzionalità di analisi comportamentale e isolamento in sandbox”.
Secondo Alessio Pennasilico, Information & Cyber Security Advisor presso P4I – Partners4Innovation, “si tratta dell’ennesima campagna che ricicla minacce già note e le rende appetibili con un minimo di social engineering al fine di aumentare il numero di vittime che apriranno le e-mail. Dal punto di vista tecnologico non vi è nulla di nuovo o di eclatante, ma come tutte queste campagne sono i volumi di invio ed i tassi conversione invii/vittime a ricordarci quanto possano essere efficaci e di grande impatto tali attacchi”.
L’analisi di Pennasilico continua sottolineando come sia importante “notare come non vengano ricercati documenti particolari, password o altro, ma si proceda ad una sistematica intercettazione del traffico di rete o di tutto quel che viene digitato. Questo lascia immaginare una capacità di elaborare grandi quantità di informazioni al fine di poter individuare dati utili a monetizzare l’attacco tramite ulteriori fasi fraudolente (ad esempio, il furto di identità)”.
I ricercatori Yoroi, infine, consigliano a tutte le aziende di mantenere alto il livello di consapevolezza degli utenti e dei dipendenti, avvisandoli periodicamente delle minacce in corso, utilizzando dove possibile un team di esperti per salvaguardare la sicurezza del perimetro “cyber” dell’organizzazione stessa.
