Campagna di diffusione malware mediante file con estensione .lnk

16/10/2018

italia lnk malspam malware

Una nuova campagna malevola di diffusione malware è stata registrata negli ultimi giorni a danni di aziende e PA italiane.

Catena d’infezione

Il vettore d’infezione è una semplice mail con riferimenti ad fatture non pagate che contengono nel corpo del testo un link per scaricare un file con estensione .lnk il quale ha il compito di scaricare il payload del malware.

Di seguito si riportano alcuni esempi di email intercettate da una amministrazione centrale afferente la constituency del CERT-PA:

Esempio Mail 1

 

Esempio Mail 2

 

Esempio Mail 3

 

Cliccando sul link riportato nel testo della mail viene scaricato un file in formato “.zip” che una volta decompresso contiene al suo interno un file con estensione “.lnk” il quale avvia la catena d’infezione eseguendo uno “script Powershell”

Si riporta, di seguito, l’icona di un file “.lnk” decompresso denominato “XUF-03151HVH-documento-cliente” – la relativa scheda “Proprietà” da cui si ha evidenzia dello script  “Powershell”.

Per renderle l’allegato più credibile alcuni file “.zip” contengono al loro interno oltre il file con estensione “.lnk” delle immagini innoque.


Indicatori di Compromissione

Di seguito si riportano gli indicatori di compromissione individuati:IoC (.txt) – SHA256, MD5, Tipo File, Domini, URL, IP, Mittenti Email, Oggetto Mail

Dichiarazione di esclusione di responsabilità
Relativamente agli indicatori di compromissione network, definiti da domini ed indirizzi IP, associati alla campagna cyber o alla tipologia di malware, si rappresenta che tali informazioni vengono fornite per finalità di analisi del traffico dati quindi per supportare la ricerca o l’individuazione di malware, o attività ad esso connesse, nel contesto di appartenenza. Valutazioni circa eventuali blocchi, preventivi o temporanei, di tali IoC sono di fatto demandate, in base alle misure di sicurezza e linee di condotta poste in essere, ai singoli fruitori delle informazioni emesse.

Analisi del CERT-PA

L’attuale rilevamento dei file .lnk da parte degli antivirus è esiguo, Virus Total evidenzia una media di rilevazione pari a circa 10/57 prodotti.

Sono in corso verifiche sul file “AI-LPOODQ5F-fattura-per-cliente.lnk” avente SHA256 A6F9E4F37F9418C46DB6E6E0ED6D056A9EE1BEE2EA7753B1CCF6B0E062F32C7F al fine di replicare la catena di infezione ed individuare la famiglia del malware quindi gli indicatori di compromissione ad esso associato.