Campagna malspam indirizzata verso PEC italiane

12/11/2018

malspam malware pec vbs


Nel corso delle consuete attività di prevenzione e segnalazione di incidenti informatici impattanti il territorio nazionale, il CERT-PA è venuto a conoscenza di una campagna di malspam, tuttora in corso, indirizzata a caselle di posta PEC italiane.

Dalle prime informazioni in nostro possesso, la campagna è stata perpetrata seguendo due modalità: nel primo caso tramite ZIP allegato contenente un VBS, nel secondo caso tramite ZIP contenente file JS.

Il Malware sembra aver sfruttato le credenziali di un account di posta PEC per inoltrare, all’intera rubrica della vittima, messaggi contenenti un allegato avente una nomenclatura tipo “Nuovi_2018_11_____546381.zip“.

Nel primo caso, l’archivio compresso presenta al suo interno due file: un VBS e un PDF, di seguito riportati:

  • _20170807-Eseguito_Bonifico_Europeo_Unico_0000_1107599.vbs
  • 20170807-Eseguito_Bonifico_Europeo_Unico_0000_11075 (PDF)

Nel secondo caso, l’archivio compresso presenta al suo interno tre file: un JS e due PDF, aventi nomi diversi a seconda dell’email ricevuta come quelli di seguito riportati:

  • Email 1:
    • 20180523-Eseguito_Bonifico_Europeo_Unico_0000_1107578.js
    • 20180523-Eseguito_Bonifico_Europeo_Unico_0000_11075 (PDF)
    • pec XXX costruzioni.pdf (omesso nome ditta)
  • Email 2:
    • 20180808-Eseguito_Bonifico_Europeo_Unico_0000_110755 21.js
    • 20180808-Eseguito_Bonifico_Europeo_Unico_0000_110755 2 (PDF)
    • pec XXX costruzioni RDO.pdf (omesso nome ditta)
  • Email 3:
    • F24 Ordinario_0000000043602515_20171218-1100371185.js
    • F24 Ordinario_0000000043602515_20171218-11003711 (PDF)
    • pec XXX costruzioni RDO G01.pdf (omesso nome ditta)

CASO 1: Dettagli tecnici

Il file PDF si compone di una sola pagina bianca avente il testo “This page is intentionally blank.

Il file .vbs contiene, invece, il codice a cui è demandato il compito di scaricare il Malware vero e proprio di cui se ne riporta un estratto:

Una volta deoffuscato il codice è possibile comprendere come il payload effettui due distinte operazioni di download:

  • Nella prima operazione viene scaricato il file malevolo dalla url hXXp://profitechglobal.com/putty e salvato all’interno della cartella skwyq472 dei file temporanei della macchina vittima col nome “SysComponent.v658.exe” (C:\Users\utente\AppData\Local\Temp\skwyq472\SysComponent.v658.exe). Successivamente, verrà eseguito sul pc della vittima e, con molta probabilità, auto eliminato al termine dell’infezione;
  • La seconda operazione si occupa, invece, di scaricare un’immagine lecita contenente la ricevuta di un ristorante (https://media-cdn.tripadvisor.com/media/photo-s/03/b6/0d/7d/b-b-al-pesce-d-oro.jpg) e di salvarla, col nome di temp48485.jpg, all’interno della stessa directory utilizzata per memorizzare il Malware.

CASO 2: Dettagli tecnici

Il file PDF si compone di una sola pagina bianca avente il testo “This page is intentionally blank.

Il file .js, così composto, riporta il codice malevolo all’interno di un array disposto nella riga 2:

Una volta deoffuscato, il codice si presenta come di seguito riportato:

Esattamente come nel Caso 1, anche in questo contesto viene scaricato un eseguibile e una fattura da due differenti server remoti. L’eseguibile viene richiesto contattando la url hXXp://31.214.157.169/2/task14_FA6DBAAAE7.jpg e successivamente rinominato in “searchStranam596.exe“. Tutti e tre i file JS rinvenuti nelle campagne successive puntano alle medesime risorse remote per scaricare l’eseguibile e la fattura, ma utilizzano variabili diverse, quindi non identificabili con lo stesso hash.

Conclusioni

Le campagne di malspam trattate in questa analisi sono tuttora in corso, ma i sample (PE32) vengono spostati rapidamente. Allo stato attuale il CERT-PA, non disponendo del file malevolo, non ha evidenze di quali siano le effettive operazioni indotte dall’eseguibile. Si chiede, pertanto, qualora qualcuno fosse in possesso del sample in questione, di inviarcelo utilizzando i recapiti disponibili nella pagina “Chi siamo” in modo da poterne approfondire le analisi.

Aggiornamento

I colleghi di CERT Yoroi, contemporaneamente alla nostra analisi, hanno analizzato una campagna simile e ottenuto il sample da una location differente. Dalle evidenze rinvenute il malware risulta associato alla campagna Gootkit.

Indicatori di compromissione

  • URL:
    • hXXp://profitechglobal.com/putty
    • hXXp://31.214.157.169/2/task14_FA6DBAAAE7.jpg
  • Nomi PE:
    • SysComponent.v658.exe
    • searchStranam187.exe
  • Allegato ZIP
    • Nome file: Nuovi_2018_11_____546381.zip
    • SHA256: 8309fcf0d1a94627fccdd697a65751de182e6fe4fd397c2e154f48a72d88821a
  • VBS
    • Nome file: 20170807-Eseguito_Bonifico_Europeo_Unico_0000_1107599.vbs
    • SHA256: afaf53e081446634306bc0003846fc7a82b90008fa3bf829b13c6b03aae49689
  • JS
    • Nome file: 20180523-Eseguito_Bonifico_Europeo_Unico_0000_1107578.js
    • SHA256: 0df49db4f1903dd9143b1bd1424494c4d639d63f9691f8f62b0293d389838c57
    • Nome file: 20180808-Eseguito_Bonifico_Europeo_Unico_0000_110755 21.js
    • SHA256: 46e1968c7b204ef856728b65cf9546036918129fe512709fce87e37fb6f04fc2
    • Nome file: F24 Ordinario_0000000043602515_20171218-1100371185.js
    • SHA256: bfb9ec076dd5181b414157d926778b6bda489a9c2dc056aa3d81a4a46c4d6652

Aggiornamento del 14/11/2018

Nuovi Indicatori di compromissione

IoC (.txt) – File globale : Domini, Drop URL, Ioc Network, hash file (SHA256)

IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr


Aggiornamento del 15/11/2018 

Nuovi Indicatori di compromissione

  • URL:
    • hXXp://jecco.com/share-files.php?download-id=XsPDnK8M&task=15&
    • hXXp://ppp.picchio-intl.com/tes2t?41
  • Allegato ZIP
    • Nome file: Nuovi_2018_12_____366070[1].zip
      • SHA256: 48aecd146505586b81d278ba13db5df825dbb6b5478da4dc361f65ce769242d6
    • Nome file: Nuovi_2018_122___35079.zip
      • SHA256: 9e20acd754701b3cb976d8756d4d6dcbd658457692424c424fde362fb7511502
  • PDF
    • Nome file: 20181010-Estratto_conto_mensile_0000_110755.pdf
    • Nome file: 20180124-Eseguito_Bonifico_Europeo_Unico_0000_110755 1.pdf
      • Hash SHA256: cdf3c76b93a3c9f7963806c22e82fa87b32ae5b8393b1ae8fe59ddf58f9b6223
  • VBS
    • Nome file: _20181010-Estratto_conto_mensile_0000_110755 121.vbs
    • Hash SHA256: d3d23a123e838f7799617cdd7ddcaf9b0dbfba5b553739a85307d556e8c10fb1
  • VBS
    • Nome file: _20180124-Eseguito_Bonifico_Europeo_Unico_0000_110755 196.vbs
    • Hash SHA25673a7806f258d5ad91cfbb42e903dbc25ac07be0c39843dcf40e971aad6fa2346
  • IoC (.txt) – File globale : Domini, Drop URL, Ioc Network, hash file (SHA256)
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 16/11/2018 

Nuovi Indicatori di compromissione

  • URL:
    • hXXp://cbdgarch.com/share-files.php?download-id=9kIfVJ4o&task=16&
    • hXXp://185.120.144.147/tes2t
    • hXXp://reflections4me.com/share-files.php?download-id=9YAJAIJr&task=16&
  • Allegato ZIP
    • Nome file: Nuovi_pec_2018_12__834626.zip
      • SHA256:  4124b8f7e598f16a606f90424d3946bb39994504fc87a7eb05fb307b3ee1669d
    • Nome file: Nuovi_pec_2018_12__61118.zip
      • SHA256 f6d597007614da34176c3eecdc1c4e4f40b1b93b036b1b98d952480446935574
  • VBS
    • Nome file: _20171110-Eseguito_Bonifico_Europeo_Unico_0000_1107536.vbs
      • SHA256 97ceed1ce94a45918d32e0d7878f123553b6b7706ff393a4f0bc43307773b38d
    • Nome file: _20180710-Eseguito_Bonifico_Europeo_Unico_0000_1107510.vbs
      • SHA256:  d3c31a93c2188f38b301d1a2e8b7c98a3d60351e15c517cc4b5edf8b98e9d4be
  • PE
    • Nome file: etqehoumofavwcenmcmygcxqpgahwquy636
      • SHA256:  2136620ef9219b83d9222726b9778b0ce1a3ae06f6041985c889b2bb4b772892
  • BAT
    • Nome file: b302029d7b5af06b_23845796.bat
      • SHA256:  b302029d7b5af06bc2a33b71792c61b912fed28e5f96e94e4a10c98f31c68334
  • IoC (.txt) – File globale :   Domini, Urls, hash files (SHA1, MD5 e SHA256),  IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 19/11/2018 

Nuovi Indicatori di compromissione

  • URL:
    • hXXp://pph.picchio-intl.com/tes2t?102
  • Allegato ZIP
    • Nome file: FATTURE_TELEPASS__189877.zip
    • SHA256: 3876d1c64f2352be4f951ec8e29ea27414b339d4965906bbb2b5a02f5e13802a
  • VBS
    • Nome file: _20170912-Eseguito_Bonifico_Europeo_Unico_0000_1107581.vbs
    • SHA256: 4983da2de1c854eae84986813c2867ee3e9004f791696ea044855904f7b4b8cd
  • PE
    • Nome file: armsv.exe
    • SHA256: 3a197cd3f7168168c74aed6b65652034c68e1addf7159aa3b663ce7ca0cf2977
  • IoC (.txt) – File globale :   Domini, Urls, hash files (SHA1, MD5 e SHA256),  IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 21/11/2018 

Nuovi Indicatori di compromissione

  • IP
    • 185.158.249.129
    • 185.158.249.133
    • 185.158.249.125
    • 185.158.249.172
  • URL:
    • hxxp://critterbuilder.com/share-files.php?download-id=dIdEDmr6&task=15&
    • hxxp://bitcoinstereo.com/share-files.php?download-id=owfyBIX6&task=15&
    • hxxp://gprocoin.com/share-files.php?download-id=UpcxNZAA&task=15&
    • hxxp://sourvegetables.com/share-files.php?useridento=9ktp0CkjopxO4frDCTH6agDnNKDFFihj1c4ZZAaXJ1EaTICWF6UFAoVymGkBIOmRP0rpY469jsB5A&task=15&
    • hxxp://arslanakber.com/share-files.php?download-id=FtccJBab&task=15&
  • Allegato ZIP
    • Nome file: Nuovi_pec_2018_12__349952.zip
      • SHA256: 26cff8ba3fee2f981234aa45938aeca1087e4d338f5cd6c4f111bf1888250be8
    • Nome file: Nuovi_pec_2018_12__447258.zip
      • SHA256: c068c6bba32394db5aefec8ac644d4e3eea1b2678e17b77a7899c4e2b2115002
    • Nome file: Nuovi_pec_2018_12__652762.zip
      • SHA256: bff477920384682e2a4675f1de7b348502c41adb6e39bc537de322a0f2203876
    • Nome file:
      • SHA256: 50f599c257251d042c7469a40033ebd3cbe6f6a2eece4f1f5c56a3c49fa9e78f
  • VBS
    • Nome file: _Eseguito_pagamento_Bollettino_Postale_0000_110755 114.vbs
      • SHA256: 7d0b64173e143aac5fbfe364aa4e88d67862d6915754b2359be67e3ce486d5b9
    • Nome file: Conferma Ordine 4810 del 10_05_20153.vbs
      • SHA256: 830909ad0c63f72d116392dad7bfa05e65272e6046ce74d3bb9e5e2f50c9b12d
    • Nome file: _Conferma Ordine 4797 del 10_05_20167.vbs
      • SHA256: 41b24634f37c751001035a27254db793761f72811e95803267857b826e54771f
    • Nome file:
      • SHA256: 035588957f7025aac65236326e9fc61f529023b4698b977d4668bd9986b86463
  • PE
    • Nome file: C:\Users\<user>\AppData\Roaming\dropbo.exe”
      • SHA256: e99167508e85a833dd1d686f3b7985862512468e6fc2189fea493133a419fd19
    • Nome file: “C:\Users\user\AppData\Local\Temp\armsv.exe”
      • SHA256: 351DBB525DFC73DAFEB7ED451015D09C70C206424335844C71FB8766AADE179A
  • IoC (.txt) – File globale :   Domini, Urls, hash files (SHA1, MD5 e SHA256),  IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 4/12/2018  

Indicatori di compromissione aggiornati.

  • IoC (.txt) – File globale :   Domini, hash files (SHA1, MD5 e SHA256), URLs, IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Informazioni aggiuntive

Dalle evidenze raccolte nella giornata odierna, basate su segnalazioni ricevute, emerge che:

  • la campagna in oggetto è in corso
  • il veicolo di invio del malware è il canale di posta elettronica certificata
  • i destinatari delle PEC sono caselle di servizi comunali quali protocollo, polizia municipale, protezione civile, affari generali, info oltre a quelle dei principali organi comunali tra cui tra cui il sindaco
  • gli invi sono massivi, nel senso che tendono ad includere una moltitudine di caselle (anche nel campo CC:)
  • le caselle mittenti sono state compromesse tramite attività di phishing o i sistemi ad esse connessi sono compromessi da malware
  • i messaggi malevoli utilizzano oggetti che fanno riferimento ad importanti o pregresse comunicazioni ad esempio:
    • POSTA CERTIFICATA: Re: 18313_091118 – Trasmissione Avviso regionale di protezione civile per il rischio meteo-idrogeologico e idraulico

Trattandosi di un evento cyber veicolato via PEC, canale normalmente considerato affidabile, che coinvolge reali caselle di altri Enti, si invita comunque a prestare la massima attenzione ai messaggi non attesi e/o sospetti ed in particolare a quelli dotati di allegati con estensioni file potenzialmente pericolose quali .vbs o documenti Microsoft Office dotati di macro.