Campagna di Malspam con finti documenti di fatturazione elettronica e Steganografia applicata a immagini

10/09/2018

malspam malware steganografia
Nella mattinata odierna il CERT-PA ha avuto modo di rilevare ed analizzare una nuova campagna di malspam, indirizzata anche a domini della pubblica amministrazione, nella quale vengono utilizzate finte fatture (.xls) per tentare di diffondere malware.
 
La comunicazione, che sembra arrivare da Uffici amministrativi di fantomatiche aziende (srl), utilizza un ipotetico documento di fatturazione elettronica per invitare l’utente ad aprire l’allegato malevolo.
Per l’avvio della catena di infezione è necessaria l’interazione dell’utente che aprendo il file, ed abilitando la macro, autorizza l’esecuzione del codice malevolo.
 
Di seguito i messaggi direttamente rilevati:
 
Caso 1
Caso 2
Caso 3

Analisi Tecnica
Dalle analisi svolte è stato rilevato che il documento malevolo, tramite la macro, tenta di contattare una risorsa esterna (dal dominio images2[.]imgbox.com) per scaricare un file di tipo png.
 
Tale file al suo interno contiene informazioni steganografate. Dalla decodifica è stato possibile risalire al contenuto originale, ovvero ad uno script powershell codificato nella prima riga dell’immagine (hXXps://images2[.]imgbox.com/9e/ff/iLa2JH9p_o.png) di cui si riporta un estratto in C.
 
Di seguito uno screenshot dello script opportunamente modificato in laboratorio al fine di ottenere in output il codice in chiaro con le istruzioni.
 
 
Lo stesso codice riorganizzato si presenta nella seguente forma:
 
 
Lo script esplicita la finalità del malware di colpire solamente le utenze ubicate in Italia (terza riga di codice) e l’utilizzo del dominio “fatturapagamento[.]us” che è preposto ad ospitare le aggiuntive componenti malevole, nello specifico viene richiesto e successivamente eseguito un file denominato paint.
 
Il nome a dominio è simile a quello utilizzato in un precedente caso Campagna di malspam verso utenze italiane tramite il quale venne diffuso malware legato a varianti di Ursnif. Anche in questo caso il sample in questione (paint) appartiene alla medesima famiglia e la query al server contattato (109[.230[.199[.237) utilizza gli stessi parametri della precedente campagna.

 
Malspam
Oggetto: Fatturazione Elettronica : documento n. 1800918 del 10/09/2018
Fatturazione Elettronica : documento n. 1800884 del 10/09/2018
Fatturazione Elettronica : documento n. 1800764 del 10/09/2018
NOTA: stando ai casi direttamente osservati l’oggetto è variabile nella forma seguente:
  • Fatturazione Elettronica : documento n. 1800XXX del 10/09/2018
Nomi file dell’allegato
FC_92_251480_0111_5.xls
FC_74_466330_0115_3.xls
FC_58_472307_0114_3.xls
FC_88_294102_0115_8.xls
FC_16_668142_0113_8.xls
Ft_000099_000_010267_10251.xls
 
IoC Network
109[.230[.199[.237
images2[.imgbox.com
fatturapagamento[.us
sev.sunballast[.com 
sunballast[.com
trampcoproject[.eu
sev.trampcoproject[.eu
IoC File (SHA-256)
SHA-256: 6ca2cd6528ec2db04ed88fbe1daa9fe6e7307353038e667cf3951e575320c111
SHA-256: 38ccc9fb3ab1d464b12ec130a66fd9bbf441f4bd22c491a78470eedf8b282ed7
SHA-256: 379a2e42f8a1c02a26bfb8e93469585be077a2d595cdacd09312369b5785a162
 
Di seguito si riportano gli indicatori malware associati al dominio “images2[.]imgbox.com” rilevati in data odierna:
 
IoC (.txt)