Campagne di malspam con varianti di Trickbot ai danni della PA

30/07/2019

banking malspam malware trickbot

Dalle attività di infosharing da parte della Constituency del CERT-PA sono state rilevate alcune campagne di malspam, con prima evidenza a partire da venerdì 26 Luglio, che sfruttano varianti del malware Trickbot.

In una delle varianti analizzate, l’email conteneva finti riferimenti a normative privacy (GDPR) con l’intento di indurre il destinatario a scaricare un archivio malevolo.

I due link presenti nell’email puntano alla url hXXps://u2215874.ct.sendgrid.net/wf/click?upn=N5sOa-2BAj1D-2—-[TRUNCATED] dalla quale si scarica un file ZIP denominato “34_8_.zip” (in questo specifico caso) contenente un VBS offuscato e dal contenuto malevolo:

Una volta deoffuscato il codice si ottiene un nuovo vbs che si occuperà di scaricare ed eseguire il Malware vero e proprio:

Come si può facilmente notare, lo script sceglie casualmente una delle 10 url da cui scaricherà l’eseguibile malevolo, lo salverà nella cartella dei file temporanei col nome di qGGxO.exe e infine lo eseguirà.

Nella seconda variante, invece, l’oggetto dell’email porta una dicitura del tipo “Fattura n. -XXXXXXYYYYY del 29/07/2019“. Anche in questo caso viene indotto il destinatario dell’email a scaricare un file ZIP che conterrà, questa volta, un file LNK denominato “Readme.doc.lnk” con all’interno un file vbs offuscato:

Una volta deoffuscato il codice si otterrà un nuovo VBS:

Anche in questo caso il codice VBS effettuerà il download del malware, lo salverà tra i file temporanei col nome di UzhZO.exe, lo eseguirà e, al contrario della precedente analisi, si occuperà di cancellarlo una volta eseguito.

Indicatori di Compromissione:

Si riportano gli indicatori di compromissione associati all’evento in corso:

  • IoC (.txt) – File globale: hash files, Domini, IP;
  • IoC (.HASHr) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Si riportano, inoltre, ulteriori IoC riferibili a Trickbot rilevati con impatto nel contesto EU a partire dal 16 Luglio:

  • IoC (.txt) – File globale: sha 256