Campagna di malspam con riferimenti Enel

13/06/2018

enel malspam malware
Nella giornata di ieri 12 Giugno 2018 è stata osservata una vasta campagna di “malspam” finalizzata a veicolare malware tramite allegati .xls armati di macro malevola.
 
Da quanto è emerso, l’ondata di e-mail ha coinvolto una moltitudine di caselle di posta sia ordinaria che certificata. Relativamente ai domini della pubblica amministrazione, le principali caselle coinvolte sono quelle dell’ufficio protocollo (protocollo@) facilmente individuabili dai rispettivi siti internet istituzionali.
 
I messaggi incriminati sono strutturati come da immagine seguente:
 
 
La peculiarità della campagna è quella di veicolare il messaggio attraverso account di posta certificata a nome di Enel. L’indirizzo di posta corrisponde a quello che Enel Energia utilizza, in ricezione, per la convalida di pagamenti di solito comunicati, ad utenti e società, tramite posta raccomandata.
 
Il messaggio di malspam invita l’utente destinatario ad aprire l’allegato che dovrebbe riportate importo e modalità di pagamento di ipotetiche bollette non saldate.
 
L’eventuale apertura del file allegato, e della macro, determina lo scaricamento di un carico malevolo dal dominio “curifirs.date”. Tale dominio, attivo nel corso della campagna, risulta ad ora non più raggiungibile.
 
Si riportano di seguito gli indicatori di compromissione, finora rilevati, associati alla campagna.
 
IoC Malspam
  • Oggetto: Enel Energia – Sollecito di pagamento – Protocollo 611XXXXXXXXX*
  • Mittente: notifiche.pagamenti.enelenergia@pec.enel.it
  • Allegato: Protocollo.xls
*numero di protocollo di 12 cifre variabile
 
IoC file (SHA256 riferibili a file Microsoft Excel 97 associati al dominio “curifirs.date” )
  • 69e363f8fc16beb04388ac69fad73dfd2e7bbe13fdb9161933f86bfe09b38023 
  • e71f8736fc51caec65392510fb7939b3ebca77bd5f487eb5f2a3dfb9087b33a6
  • 68dd3beb558d19c72b500203bb5c010250178b7b43c7de9be56ee05ba4b4e594
  • ff3f2c0b8f9bf62e325a9b224f37ad17cb70707ab10ac3f0e912f9fa1dda0abf
  • 80131e40d313ccb1839f4b6dd0a66fc21da1a5199dfc0bbf0f8001ab0d34ecaf
  • 92a291d2300df6385b9bd706418c87719922f5fbee202fa293617e0888e1fc7f
  • 5a68be22ce02863e83fbe77cfbbdb4a1a04bec01cd93af2c1cb1f0efcbafa114
Payload (prelevato da (hXXps://curifirs.date/cliponboard):
IoC Network
Indirizzi IP
  • 151.106.14.27
  • 89.18.27.188
Domini
  • migyno.win
  • curifirs.date
Analisi sono in corso, ulteriori dettagli sulla campagna verranno forniti come aggiornamento non appena disponibili.