Campagna di malspam Trickbot

26/10/2018

banking malspam malware trickbot

Dalle attività di infosharing con fonti della constituency emerge una nuova campagna di malspam che utilizza macro contenute in documenti Excel.

L’interazione utente si rende necessaria per avviare il primo stadio della catena di infezione. Quest’ultimo viene inviato ad aprire un link contenuto nel corpo della mail al fine di scaricare un file Excel da una pagina web che replica la grafica di Microsoft Office. Il file Excel presenta a primo impatto un invito ad abilitare le macro tramite apposito pulsante previsto dall’applicazione. Nel caso di abilitazione delle macro viene eseguito un algoritmo di decodifica del codice al fine di eseguire uno script PowerShell che punta al dominio “ey-uk[.]net“, al momento dismesso, dal quale prova a scaricare il file “lunar.pony“.

Di seguito l’algoritmo di decodifica trascritto in JS

Output prodotto dallo script

Catena di infezione

Nel caso specifico lo script PowerShell scarica il file “lunar.pony” che salva con nome file “updrun.exe” all’interno della directory di sistema “%temp%“. Il file “updrun.exe” viene eseguito e il risultato viene salvato all’interno di un file denominato “_runbat.bat” che a sua volta viene lanciato in modalità silente.

Conclusioni

Al momento il CERT-PA non è in possesso del file “updrun.exe” poichè la risorsa non risulta più raggiungibile, ma da indagini closint il sample sembrerebbe far parte della famiglia di malware bancari riconducibili a Trickbot o altro malware destinato comunque all’esfiltrazione di dati e credenziali.

Indicatori di compromissione

Da analisi specifiche effettuate su fonti closint, il CERT-PA fornisce la lista di indicatori di compromissione associati a Trickbot rilevati a partire dal 15 Ottobre 2018: