False comunicazioni INAIL veicolano il malware Gootkit via PEC

03/04/2019

gootkit malspam

Il CERT-PA ha rilevato una compagna di malspam avente come oggetto “INAIL Comunica XXXXXXX” (dove “XXXXXXXX” un numero casuale di 8 cifre). L’e-mail si presenta come proveniente dal dominio legalmail.it e ha lo scopo di infettare l’utente con il malware Gootkit. Questa volta la notifica è pervenuta al CERT-PA da privati cittadini e su twitter si ha un ulteriore riscontro del fatto che la campagna è attualmente in corso.

L’e-mail contiene in allegato due file:

  • INAIL_Comunica_XXX.ppd – Un file XML contenente i dati di una falsa denuncia. Lo scopo di questo file è quello di indurre un senso di urgenza ed importanza all’utente.
  • INAIL_Comunica_YYY.vbs – Uno script che scaricare il malware GootKit e lo esegue sul computer della vittima.

Lo script allegato, se eseguito, oltre a lanciare il malware GootKit installa un altro script JS che funge da client della botnet usata dagli attaccanti. Il client ha la possibilità di scaricare ed eseguire ulteriori file e di lanciare script PS su comando del C&C (risalente al dominio sad.childrensliving.com). Dall’analisi del file VBS risultano esclusi dall’infezione i seguenti Paesi:

  1. Russia
  2. Ucraina
  3. Bielorussia
  4. Cina

Nel campione osservato dal CERT-PA si ha evidenza che il comando impartito al computer della vittima è quello di diffondere il malware tramite un server IMAP (presumibilmente compromesso e presumibilmente italiano a giudicare dai messaggi di errore gestiti) ad una serie di indirizzi e-mail forniti dal C&C. In seguito le e-mail sono cancellate dal server.

Le campagne di malspam relative al malware Gootkit sono in forte aumento e sempre più spesso viene fatto uso di account PEC precedentemente compromesse per dare importanza al messaggio spacciandolo per una comunicazione ufficiale e di conseguenza puntare ad aumentare il numero di vittime. A tal proposito il CERT-PA consiglia agli utenti di consultare l’apposita pillola informativa relativa all’argomento Phishing agevolmente consultabile in formato PDF.

Indicatori di compromissione

IoC (.txt) – File globale : Domini, hash files (SHA256), URL

IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr