Campagna di malspam verso utenze italiane

31/07/2018

italia malspam malware
Il CERT-PA ha rilevato una nuova campagna di malspam volta a colpire utenze italiane e finalizzata a diffondere il malware Ursnif tramite documenti .xls armati di macro malevola.
Come già emerso in altra occasione, anche questo messaggio sembra provenire da una casella del dominio “istruzione.it” ma, dal controllo delle intestazioni, si evince che gli autori della campagna si stanno avvalendo di tecniche di “spoofing” per nascondere la reale casella mittente ed utilizzarne una di un dominio di posta plausibilmente più familiare.
 
Di seguito l’estratto dei messaggi analizzati:
 
Esempio 1:
  • Da: <studiomarche@istruzione.it></studiomarche@istruzione.it>studiomarche@istruzione.it
  • Soggetto: R: richiesta invio fattura
  • Ip di invio: 110.64.118.168
 
Esempio 2:
  • Da: <studiomarche@istruzione.it></studiomarche@istruzione.it>stutter474@istruzione.it
  • Soggetto: Ft.02 31/07/2018
  • Ip di invio: 176.151.54.197
 
 
 
La catena di infezione si sviluppa tramite l’interazione dell’utente quindi con l’apertura dell’allegato e dando successivamente il consenso alla modifica del documento (modalità compatibilità).
 
Di seguito una rappresentazione di esempio delle due fasi:
 
 
 
L’eventuale apertura e consenso determina l’esecuzione di comandi Windows (cmd mshta powershell) per prelevare malware da una risorsa internet appositamente creata per ospitare carichi malevoli (payload) ed installare tale codice malevolo sui sistemi di destinazione:
 
Si evidenzia che il file .XLS (downloader), veicolato nella campagna in oggetto, ha un fattore di riconoscimento da parte degli antivirus molto esiguo pari a 7 vendor su 59.
Downloader esempio 1
Downloader esempio 2
 
Stando alle analisi, il downloader ha il compito di contattare via GET HTTPS la risorsa pagamento[.]us e processare i file “abcd” e “abc”. Se superati i “controlli” il malware scarica il file “realte.xlsx” che è in realtà un file di tipo PE contrassegnato dagli indicatori di seguito riportati.
 
Dalle specifiche del file “abc” emerge chiaramente che gli autori del malware puntano a colpire sistemi aventi indirizzi IP localizzati in Italia:
 
 
Payload
Da analisi aggiuntive sugli indicatori rilevati, tra cui il dominio “pagamento[.]us” e la macro malevola (sha256 80972ccb66a0049633ee94c39720ec709a851eb6e7fea03bcb845ddfebf7b649), emergono ulteriori elementi che tendono a confermare la recente diffusione della campagna sul territorio Italiano:
 
  • SHA-256: 8a4ac1f50a6ae8ace002e26f1f57e6769974a5dd2f9e9e89a2a40bd0a3a5f9f1
  • Nome file: ft.n.20008645_07_2018.xls
  • SHA-256: d232e33235a5e8f55cd87ed01d02ada59b64628e913f08307ed6777e981a8727
  • Nome file: ft.n.20004075_07_2018.xls
  • SHA-256: 3616a57a26954b89aa7ead3166cfdf4d2f64d4ac3d1b01a598f6d29eacf3a6d1
  • Nome fileft.n.20005829_07_2018.xls