Malspam per diffondere il malware Emotet con riferimenti del MEF

18/12/2019

emotet malspam

Nella mattinata odierna il CERT-PA ha rilevato una campagna di malspam che utilizza caselle PEO, plausibilmente compromesse, per invitare i destinatari a cliccare su link malevoli.

Il caso rilevato, di seguito riportato, utilizza riferimenti del Ministero dell’Economia e Finanze e del relativo portale IGF (Ispettorato Generale di Finanza) noto per ospitare vari applicativi connessi alle funzioni di vigilanza erogati dall’Ente.

Il collegamento internet incluso nel messaggio, nonostante sembri indirizzare l’utente verso un ipotetico documento sul sito istituzionale del MEF, in realtà redirige verso un dominio malevolo permettendo di scaricare un file con estensione .doc che ha funzioni di “downloader”:



Tipologia di malspam

Si tratta di una tipologia di malspam ad alta pericolosità, tendenzialmente volta a colpire specifici enti o utenti, dove i cyber criminali utilizzano:

  • la lingua italiana con chiaro riferimento al target di interesse;
  • riferimenti del MEF per convincere le potenziali vittime a dare seguito all’apertura del collegamento;
  • traffico SSL per scaricare le componenti malevole e superare i più semplici e comuni controlli di sicurezza sul traffico dati.

Per avviare la catena di infezione l’utente dovrebbe scaricare il file doc malevolo quindi aprirlo abilitando la macro contenuta dando così seguito al download ed esecuzione locale di un PE, associato al malware Emotet, che al momento viene rilevato complessivamente da 11 produttori Antivirus.

Per arginare l’infezione di malware in casi simili è necessario prestare attenzione alla casella mittente, in primis verificando che il mittente visualizzato abbia una reale corrispondenza con la casella e-mail\dominio, quindi se il collegamento internet redirige al dominio visualizzato o comunque a risorse note legate al contesto lavorativo.

Indicatori di compromissione

  • IoC (.txt) – Hash, Urls
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr