Campagna di ricognizione vittime tramite false email SDA/Poste Italiane

12/12/2019

malspam poste italiane sda

Appena tre giorni dopo la campagna malevola DHL il CERT-PA ha ricevuto privatamente evidenze da parte del CERT D3Lab di una campagna di malspam ai danni di clienti SDA/Poste Italiane per la quale sono stati rilasciati pubblicamente alcuni dettagli.

L’indirizzo mittente della campagna è sda@sda-express[.]xyz il cui dominio sda-express[.]xyz risulta essere stato registrato in data 10/12/2019 e localizzato negli Stati Uniti. Il documento allegato è un file .doc contenente una macro malevola. Inoltre, come fanno osservare i ricercatori D3Lab tutte le mail risultano avere corretto il valore del record SPF per poter ottenere una valutazione migliore e superare l’eventuale filtro AntiSpam.

Le informazioni sensibili contenute nella macro sono state offuscate in base64, la rapida decodifica consente facilmente di individuare le operazioni eseguite dal codice.

A differenza delle recenti campagne mirate verso utenti italiani, questa volta la macro non presenta alcun controllo sul Paese in cui è localizzata la macchina vittima. Una volta aperto il documento e abilitata la macro vengono raccolte, tramite query wmi, diverse informazioni sul sistema in cui è in esecuzione:

  • computer_name
  • user_name
  • domain
  • domain_role
  • workgroup
  • manufacturer
  • model
  • system_type
  • os_name
  • os_version
  • AntiVirusProduct
  • Processi in esecuzione

Tali informazioni vengono offuscate in base64 ed inviate verso un C&C raggiungibile al seguente indirizzo anch’esso localizzato negli Stati Uniti: http://192[.]236[.]155[.]17/info1[.]php?id=Base64StringEncoded

Nessuna compromissione successiva, punti di persistenza o inoltro di credenziali sono stati osservati a seguito dell’analisi del documento.

I domini registrati ad-hoc per la campagna in oggetto al momento sono i seguenti:

  1. sda-express[.]xyz
  2. sda-express[.]icu
  3. sdaexpress[.]icu
  4. expresscourier[.]icu
  5. expresscourier[.]xyz

Conclusioni

Sembra piuttosto chiaro che l’attività odierna dei cyber criminali sia orientata a raccogliere informazioni sulle macchine vittima della campagna al fine di effettuare una scrematura e selezionare i target a cui inviare successivamente il malware mediante campagne mirate.

Indicatori di compromissione

  • IoC (.txt) – Domini, URL, IP, Hash