Individuata un’estesa campagna di Malspam verso strutture nel territorio Italiano

22/03/2018

Nella giornata odierna è emersa una campagna massiva che utilizza la posta elettronica e caselle precedentemente compromesse per inviare allegati infetti.

Dalle analisi, attualmente in corso, emerge che i messaggi di posta sono:
  • inviati da caselle di posta attestate su domini italiani (.it),
  • i mittenti sono reali,
  • oggetto, corpo del messaggio ed allegati scritti in italiano,
  • il file allegato ha estensione .doc con macro dotata di quattro moduli
Di seguito un estratto rappresentativo dei processi invocati dall’apertura del documento e dalla macro:
 

I messaggi sono generalmente preparati con cura, in alcune occasioni creati su misura per i destinatari. Sono infatti emersi messaggi personalizzati sulle tematiche lavorative o caratterizzati da finte risposte a ipotetiche conversazioni pregresse di carattere operativo/organizzativo.

La diffusione del malware, ricavata dallo studio degli indicatori di compromissione network ed in particolare dalle richieste di connessione effettuate dal malware, appare focalizzata principalmente negli Stati uniti ed in Italia:
Di seguito gli indicatori di compromissione ad ora rilevati:

Nome dell’allegato:

  • Richiesta.doc
  • CdB_Richiesta.doc
  • NEV_Richiesta.doc
  • ric.doc
  • IISC_Richiesta.doc

MD5: 27cf55031c0c8cf6c07695e687c5b925
SHA-1: 2f75750ffb114ba86be9ab8b15456a748c780d81
SHA256: 4f8f48d793c26c842e619f32820a3572fe03e24b3238137baf0a4a6ca58ab82f
Dropper URL: http://dibgnaqhbdaqpwid[.[com/NOIT/testv.php?l=bedro2.class
MD5: 0ed454a2fc864a8b556a2f897db4ac22
SHA-1: a2c7f474f9c60742c19e7245585304825e85e112
SHA-256: fcfb08a507e9a115d7dc95322c3231d1b5482a630c8842c4f4de18292333b047
Dropper URL: http://kjndnadandwdhnjw[.[com/NOIT/testv.php?l=bedro7.class

MD5: 441847d2bd5cc9b6caff42764699d8ab
SHA-1: 2a3d1500fa09f26207fd7236083c9a3cd771172f
SHA-256: ec36655a1d4d6f911c33c31e3c1eb12c9ba01006fdf71fc41cfc4707430d09f5

Mittenti ed oggetti dei messaggi sono variabili.

Al fine di fronteggiare la minaccia in corso, si consiglia di non aprire allegati di dubbia provenienza o quelli non attesi e dotati di macro:


Aggiornamento del 23-03-2018
A seguito di ulteriori evidenze raccolte, il CERT-PA ha rilevato elementi che confermano l’operativit√† della campagna in oggetto a partire dal giorno 15 Marzo con impatto circoscritto al contesto Italiano.

Si riportano di seguito gli indicatori di compromissione individuati nel frangente temporale dal 15 al 23 Marzo 2018, relativamente ad allegati malevoli “Microsoft Word 97 – 2003” che contengono nella Dropurl la chiamata al seguente percorso “*/NOIT/testv.php?*” e riconducibili alle famiglie di malware bancario Emomet e Ursinf:

IoC (.txt) – SHA256, MD5, Domini e Indirizzi IP
IoC (.stix) – SHA256, MD5, Domini e Indirizzi IP