Campagna di malspam mirata ad Organizzazioni Italiane

14/06/2018

italia malspam malware
In data odierna, tramite evidenze dirette oltre a quelle rilevate tramite fonti esterne, il CERT-PA ha individuato una campagna di attacco, attualmente in corso, ai danni di organizzazioni italiane. 
Gli attacchi si manifestano tramite l’invio di email fraudolente contenenti file Office malevoli in grado di infettare gli host vittima con varianti del malware Ursnif. Ricordiamo che tale tipologia di virus è in grado di trafugare dati, fornire un accesso backdoor ed intercettare attività dell’utente.
 
I messaggi malevoli utilizzati dagli attaccanti sembrano basarsi su comunicazioni pregresse con fornitori, clienti o terze parti, con le quali i destinatari possono aver intrattenuto scambi di corrispondenza. Nel caso analizzato dal CERT-PA viene riportato il seguente mittente, plausibilmente falsificato:
  • Info “<info@reteimpreseitalia.it< span=””></info@reteimpreseitalia.it<>info@reteimpreseitalia.it”
Mentre l’oggetto utilizzato è:
  • Re: 20180522 – 054505RU Art. 4 bis del D. L. 22 ottobre 2016, n. 193 (obbligo di emissione in modalità elettronica per le fatture tax free dal 1° settembre 2018). Istruzioni operative per l’utilizzo di OTELLO 2.0.
Risulta dunque possibile che nella campagna in oggetto, gli attaccanti utilizzino parte degli oggetti, o parti di contenuto delle email malevole, familiari alle vittime. In genere i messaggi malevoli si presentano sotto forma di risposte fittizie a potenziali scambi email passati, includendo al loro interno un file office malevolo denominato:
  • NOME_O_ALIAS_Richiesta.doc
  • Inquiry.doc
  • SB_Richiesta.doc
  • Richiesta.doc
All’apertura del file .doc viene mostrato all’utente un messaggio con l’invito ad abilitare il contenuto dello stesso come di seguito rappresentato:
 
 
All’abilitazione della macro viene scaricato un XML dal contenuto offuscato dal seguente URL:
  • hXXp://opoasdhqnjwn.com/cachedmajsoea/index.php?e=ggga
Dalle analisi effettuate sul server che ospita il carico malevolo, sono emersi numerosi payload inducendo a pensare che la campagna utilizzi multiple varianti del malware. Di seguito una raffigurazione della cartella richiamata dal malware sul dominio opoasdhqnjwn.com:
Di seguito gli indicatori di compromissione malware associati al campione e-mail sopra descritto:
Dropurl:
  • opoasdhqnjwn[.com
  • yatsdhqbwe[.com
  • vqubwduhbsd[.com
  • xcbxccxzc[.com
  • gsdfhjdgfdg[.com
  • hkjfhkjghgh[.com
  • vmnbcvmbnc[.com
  • fqiwbdqwhdb[.com
Tramite analisi di threat intelligence il CERT-PA fornisce ulteriori indicatori di compromissione rilevati tramite l’infrastruttura attivata dagli attaccanti per veicolare il malware:
  • Tipo file PE (SHA256 – MD5)
fc6ae2c3dfee3aa9c5dc6dc74b7badf527a6a839c2476b84467aabd2dd1d615e
4d5029a3df943b1d6582fc67758bf8be
 
bd8bab5e893301a2722535595082b306e88564a35e5b819af454a90bc792752c
674c08b4f4453af6daebc2c9908d24a5
  • Tipo file Microsoft Word 97 – 2003 (SHA256 – MD5)
f91425a58585526fce900c782d2692a8fca54103969f49aca7ef8d9a6d13163f
f9be705410773df477b4e74c9e340015
 
33a25af53a9fbce419d9408052c505225e3de0d3673b14775d47b9a95513666d
8c891b8b3989cb233d8dc4eaef7ed57b
 
f7d9f411b9406fb429599a5963051a9629bca85e0bc79637671c0edb810f31d6
0648e192f93a3c7228b4b42e400c12d6
 
1d98a83ef3346dd875356a87ef908b80ee9b5da7d2224f46e875b2fcc033ce44
7ec61c29f25bb4ed13d329a7dfd9713b
 
ad91c87252db965de8ba832060c997a23437d8bfd997da0afb0f64b2a9eeaaa7
fccd7160e01ee59b7b9284c12d992c42
 
6873dc12e8afc728a28cedfc93284eed1eda10734c3e898af96e7ebfb4395b9d
6a364352562dd9574beea0689c4cb33f
 
c1c7c0721ee0236d16a2d2d9521734727cf65fe59f629b3051d540905169e66a
176c6dd5409cf88b7416e856e1862485
 
bb4eb4eff38959bee532eaa38d75c3244e3bdeb836839c7ee32ac103551467e1
30a666bb60115ebb89ab70320ca7fe05
 
9a27da89004a2ec8856799359b2719a6f0cedc9d8aca89d9b11f8dead5eb0961
c03b2ec46ad371d9fa732bd642a190a4
 
af7e03555d12dc862b785a987f20c783a7d8ce9d31b3322ea03a8b8f7728def0
ac2fe4af8e62324acb0dc34e41cb63db
 
5584a6cce76c203bdd219171d800b1af01ad3b33f25c4d4174b1557b4488e672
ee3aded8498953efc505ff0f011e3b6c
 
d2b11f501a71cad0f8ae2307fc46244b2f8da9b3d29186109625a25fc86f0f0b
02500c6ed2f06b6a413c745a17151639
 
b09e12e3b3af170a060a9b0d3c39ae760918c78b35b1166895864b89a3a84bcf
64da25eb0c104e6c11ddf213698baacf
 
05f83b21cbd4a74b8fa91dbe38239a7814f2fe06af865fcb8271e5cdc5827157
dd4cf18b21ff76cd2835c49126082598
 
2fed002bc259273c6f3288e9e9aae517b101d2d248d830368928b1b7e59b8b27
41ef4ec13a235829c084619ffe17e3f3
 
fd224d89c099d3c2ba44813ac40de4a8333b9d76617bb5db3efeafe6880f03b1
9a75cb9f8cdd9db372cf0d1e41604984
 
255ebb7c2272f7cd6fab1791713c3d842a9a58074090d2bc50835dc17a04cac9
cd46f1b5107b48ee86d0b933db024717
 
401fb0a6eb15065fc55e1417a1bc877c2b228ed3dc7a79ce1239e9f8713f0d77
b358668dc4e630fd11e45d8705ac0f3d
 
La campagna risulta ancora in atto anche nel contesto Italiano, inoltre dalle caratteristiche della stessa si desume che l’attacco sia lanciato da gruppi ben organizzati, ragion per cui si consiglia di allertare le strutture di competenza al fine di applicare contromisure idonee ad arginare la minaccia.