Campagna Gootkit tramite JasperLoader verso Pubbliche Amministrazioni

19/07/2019

gootkit jasperloader malspam

È in corso una campagna di malspam rivolta alle PA italiane e veicolata attraverso un’e-mail con oggetto “Internal error” e contenente un link ad uno zip e i “saluti” in calce.

E-mail Gootkit e Sload

Il file ZIP, scaricabile dal link riportato nel corpo del messaggio, si presenta di volta in volta con nome differente e contiene un file VBS che una volta lanciato esegue un PowerShell per ottenere JasperLoader, un RAT minimale al momento usato per veicolare Gootkit. Di seguito la catena di infezione:

ZIP -> VBS -> PS -> JasperLoader -> Gootkit

Indicatori di compromissione

Si riportano gli indicatori di compromissione associati all’evento in corso:

  • IoC (.txt) – File globale : hash files (SHA256), Domini, IP
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr