Il CERT-PA ha dato notizia di un nuovo malware delle PEC che, diffondendosi mediante una campagna massiva di malspam, sta colpendo nelle ultime ore diverse aziende e organizzazioni italiane. L’attacco viene portato avanti seguendo due modalità: nel primo caso tramite un archivio in formato ZIP allegato al messaggio di posta elettronica contenente un file con estensione VBS, nel secondo caso tramite uno ZIP contenente un file JS.
Indice degli argomenti
Analisi tecnica del malware delle PEC
Da una prima analisi, sembrerebbe che il malware abbia sfruttato un account PEC compromesso per inoltrare a tutti i contatti presenti nella rubrica della vittima messaggi infetti contenenti un allegato nominato come “Nuovi_2018_11_____546381.zip”.
Nella prima modalità di attacco, l’archivio compresso contiene a sua volta un file VBS e un documento PDF:
- _20170807-Eseguito_Bonifico_Europeo_Unico_0000_1107599.vbs
- 20170807-Eseguito_Bonifico_Europeo_Unico_0000_11075 (PDF)
L’altra variante del malware, invece, diffonde l’archivio compresso contenente tre file: un JS e due PDF, aventi nomi diversi a seconda dell’email ricevuta:
- e-mail 1:
- 20180523-Eseguito_Bonifico_Europeo_Unico_0000_1107578.js
- 20180523-Eseguito_Bonifico_Europeo_Unico_0000_11075 (PDF)
- pec XXX costruzioni.pdf (omesso nome ditta)
- e-mail 2:
- 20180808-Eseguito_Bonifico_Europeo_Unico_0000_110755 21.js
- 20180808-Eseguito_Bonifico_Europeo_Unico_0000_110755 2 (PDF)
- pec XXX costruzioni RDO.pdf (omesso nome ditta)
- e-mail 3:
- F24 Ordinario_0000000043602515_20171218-1100371185.js
- F24 Ordinario_0000000043602515_20171218-11003711 (PDF)
- pec XXX costruzioni RDO G01.pdf (omesso nome ditta)
Nella prima modalità di attacco, il file PDF contiene una sola pagina bianca con il testo “This page is intentionally blank.” Il file .vbs contiene, invece, le istruzioni per scaricare il malware vero e proprio. Analizzandole, si scopre che il payload effettua due operazioni distinte:
- innanzitutto il payload scarica il file malevolo dalla URL hXXp://profitechglobal.com/putty e salva all’interno della cartella skwyq472 dei file temporanei della macchina vittima col nome v658.exe (C:\Users\utente\AppData\Local\Temp\skwyq472\SysComponent.v658.exe). Successivamente, lo esegue sul PC della vittima, impostandone l’autocancellazione al termine dell’infezione;
- successivamente, il payload si occupa di scaricare un’immagine lecita contenente la ricevuta di un ristorante (https://media-cdn.tripadvisor.com/media/photo-s/03/b6/0d/7d/b-b-al-pesce-d-oro.jpg) e di salvarla, col nome di jpg, all’interno della stessa directory utilizzata per memorizzare il malware.
Analizzando la seconda modalità di attacco del malware delle PEC si scopre che, anche in questo caso, il documento PDF si compone di una sola pagina bianca avente il testo “This page is intentionally blank.”.
Deoffuscando il file JS, invece, si scopre che il codice malevolo vero e proprio. Anche in questo contesto viene scaricato un eseguibile e una fattura da due differenti server remoti. L’eseguibile viene richiesto contattando la URL hXXp://31.214.157.169/2/task14_FA6DBAAAE7.jpg e successivamente rinominato in searchStranam596.exe. Tutti e tre i file JS rinvenuti nelle campagne successive puntano alle medesime risorse remote per scaricare l’eseguibile e la fattura, ma utilizzano variabili diverse, quindi non identificabili con lo stesso hash.
Un secondo attacco con lo stesso malware?
Analogamente alle analisi portate avanti dal CERT-PA, anche gli analisti Yoroi hanno individuato una campagna massiva di malspam anche questa indirizzata verso organizzazioni italiane. In questo caso, le caselle di posta vengono intasata con e-mail fraudolente che simulano scambi di informazioni da parte di ipotetici fornitori di servizio per via degli imminenti adeguamenti in tema di fatturazione elettronica.
In questo secondo attacco, i messaggi di posta hanno in allegato lo ZIP Nuovi_2018_11_____11223.zip contenente uno script VBS eseguibile pesantemente offuscato dall’attaccante: lo script è in grado di scaricare e installare una pericolosa variante malware della famiglia Gootkit capace di rimanere silente all’interno del sistema vittima, esfiltrare dati, intercettare e redirezionare traffico di rete, trafugare credenziali di sistema e fornire accesso backdoor alla macchina compromessa.
Malware delle PEC: i consigli per le aziende
È importante, innanzitutto, che le aziende strutturino un team di esperti che salvaguardi la sicurezza del perimetro cyber dell’organizzazione.
“Questo tipo di minaccia è ormai molto diffuso e la mail è oggi veicolo di infezione predominante rispetto al download tramite navigazione generica su Internet: si sfrutta la leggerezza dell’utente medio nell’aprire e-mail e i suoi allegati, spinto dalla curiosità”, è il commento di Diego Gagliardo, Endian Chief Operation Officer, secondo cui “per contrastare il fenomeno è innanzitutto necessario dotarsi di idonei strumenti di protezione della rete informatica, per rilevamento e analisi del traffico, mantenendoli sempre aggiornati; allo stesso tempo è bene attuare formazione del personale, sensibilizzando sulle più recenti minacce e insegnando come riconoscere un potenziale attacco e cosa fare per evitare di subirlo”.
Soprattutto in casi come questo, in cui ad essere presi di mira da un attacco informatico sono indirizzi PEC tipicamente di utilizzo aziendale, è dunque molto importante investire sulla security awareness dei dipendenti.
Valgono poi i consigli pratici sempre validi per difendersi dal malspam: innanzitutto bisogna prestare sempre la massima cautela quando si ricevono e-mail normali o di PEC di provenienza sospetta o da mittenti sconosciuti. Evitare, inoltre, di aprire gli allegati e, nel caso di documenti Office all’apparenza legittimi, evitare di abilitare l’esecuzione delle macro.
