Malspam tramite file con estensione “.url”. Rilevato repository con 80 script WSF

05/04/2018

malspam malware url wsf
Dalle attività di infosharing con la constituency, il CERT-PA è venuto a conoscenza di una campagna di malspam veicolata tramite email contenente in allegato un file con estensione “.url”.
I file “.url”, nativamente utilizzati da Internet Explorer per salvare sul disco i siti preferiti, sono stati sfruttati in passato come dropper in quanto facili da veicolare, occupano pochi byte, possono essere eseguiti con un semplice click.
Il codice del file “.url” punta a un file “.js” sul server 169.239.128.129 utilizzato nella catena di infezione come repository di componenti malevoli aggiuntivi. Al momento dell’analisi non è stato possibile acquisire la risorsa richiesta in quanto non più presente dalla sorgente. 
 
Altre risorse individuate sul server
 
Il server oggetto di analisi, localizzato in Sud Africa, risulta censito da diverse blacklist per precedenti attività malevole; ulteriori analisi hanno consentito di individuare all’interno del server incriminato una lista di 80 file malevoli di tipo Windows Script File (.wsf).
I file “.wsf”, creati in data 3 Aprile 2018, sono script opportunamente offuscati al fine di eludere i controlli antivirus e chiaramente scoraggiare l’attività di reverse. Da una analisi a campione dei sample presenti sul server sono stati individuati quattro server remoti a cui punta il malware.
Dall’analisi dinamica dei sample (wsf) emergono dettagli di connessione remota verso due dei quattro domini decodificati. Nel caso dell’analisi interna disponibile sulla piattaforma Infosec viene rilevata una sola connessione, la medesima richiesta è stata acquisita dalla piattaforma Any.Run con l’aggiunta di un secondo dominio.
Ulteriori analisi sono in corso, si riportano di seguito gli IoC al momento individuati.
IP Address:
  • 169.239.128.129
Domain:
  • nora-buschmann.de
  • sandjojo.nl
  • gotrolhedtsasof.com
  • asetcorp.com
 
Url:
  • nora-buschmann.de/iUyfemds7?
  • sandjojo.nl/iUyfemds7?
  • gotrolhedtsasof.com/monn/iUyfemds7
  • asetcorp.com/iUyfemds7?
 
File:
  • VM_03-04-2018_1017631.wsf 3960a3c8029d1c61b390b54809694d3d
  • VM_03-04-2018_1829571.wsf e0d897a466ecb61efc625174597623c9
  • VM_03-04-2018_2291572.wsf 1047581ffb1d35f27ef72087aa5534e4
  • VM_03-04-2018_2474311.wsf c8b99eab090f5cfb8ac22ececfbfac51
  • VM_03-04-2018_2494737.wsf 1a4e3e6823f9b1f9db47b526d5b53f5d
  • VM_03-04-2018_2529009.wsf 292c215f2ce82104601a3e04d4b18b78
  • VM_03-04-2018_2779341.wsf af5278f054220202d06be661decc5cfc
  • VM_03-04-2018_2791027.wsf 684bf9a1a856122cff51d0bf619a97b4
  • VM_03-04-2018_2829500.wsf 8dc2e557bffd4a26012c1b91eddc14cc
  • VM_03-04-2018_2840522.wsf 37792492f3b31c342efbf4bb554ecf2b
  • VM_03-04-2018_2872025.wsf 9ce1e704c611e607ea79110e7e4e9671
  • VM_03-04-2018_2882005.wsf 2ef360a39c1029361df4b4a0ebead779
  • VM_03-04-2018_2926009.wsf 0faf94fd662443cadb28eef4ef07f9a7
  • VM_03-04-2018_3006538.wsf 01eba4fc474c5faa345d736128c8d3ab
  • VM_03-04-2018_3297231.wsf c151ef9a9fadefe9830d9e28c7387b32
  • VM_03-04-2018_3302416.wsf 0a6fd85cf6a5d7cbae0a42482c526083
  • VM_03-04-2018_3388466.wsf 7b8a47afc30dd50e8983d0b8f99ff67e
  • VM_03-04-2018_3411596.wsf 172908f1d32203d418bb45d79067205f
  • VM_03-04-2018_3574054.wsf 1ed64decb6790a6cb2a380b4f378b73c
  • VM_03-04-2018_3576575.wsf b7d5d0bda1959487e8a104178591bf0a
  • VM_03-04-2018_3722653.wsf 255e0313507e61913a4058eb6e679edf
  • VM_03-04-2018_3765883.wsf 0161db000a2cd90839103650b4a1299b
  • VM_03-04-2018_3817083.wsf 2cc66bac73bc6146bdb2860e0b54a851
  • VM_03-04-2018_3997529.wsf 5100e9e221f2861a77f8738193c763bc
  • VM_03-04-2018_4070977.wsf c88ca049620fec9097f3e75b65b79d9d
  • VM_03-04-2018_4243941.wsf f125ee8f10795f8574bcb9e36c5cce28
  • VM_03-04-2018_4359339.wsf a7c2bc26c668a21ef26e159493e87e71
  • VM_03-04-2018_4361086.wsf d651f76fbcdd49c22553db9320ff2479
  • VM_03-04-2018_4430108.wsf 4cb42c23aa8bc2e8c336e0017d95b81b
  • VM_03-04-2018_4466340.wsf db8a91faaa0104f397bc72e440c50b0f
  • VM_03-04-2018_4610155.wsf 8a88314137b6f793f3ba55bc9716ff7b
  • VM_03-04-2018_4678181.wsf 491a1fa897794ba9b7a7030363aa34d2
  • VM_03-04-2018_4760329.wsf 0b8a5ca3af05d7122730a4c861875a54
  • VM_03-04-2018_4819142.wsf 80317c94fc60d9c56e2e93e4d1fa332a
  • VM_03-04-2018_4840160.wsf bb07622a8c7ee96f0ed61adc3d2e839b
  • VM_03-04-2018_4914869.wsf e07ce27b5c68725412815ff300f2c8b8
  • VM_03-04-2018_5081758.wsf b03daffbb07496ea63b3f1d8b4aa5468
  • VM_03-04-2018_5200865.wsf c1d14e3e3115d6daedf151fd8ab87bd1
  • VM_03-04-2018_5233769.wsf 17f36295e8ff9bcd33e9556eeb785eb8
  • VM_03-04-2018_5270472.wsf 64b2b13b1b092c21ff218ab55e762565
  • VM_03-04-2018_5360228.wsf c4b4c6e3dd023324f31638201bcb716a
  • VM_03-04-2018_5383845.wsf ff8860b50a29afe8cef6310dd41af7d9
  • VM_03-04-2018_5391318.wsf ea6e210d8959ea33033f2e5c6d696c90
  • VM_03-04-2018_5478686.wsf a025d1d59dadb9f0df04d30d5e6d58cb
  • VM_03-04-2018_5594679.wsf 4828c682f56f58d3222dab2aeff3fd27
  • VM_03-04-2018_5788741.wsf ec36e1bc130de03cc0a60142bfd022ce
  • VM_03-04-2018_6127301.wsf d77dfb506b44b3df1c12abba468ab982
  • VM_03-04-2018_6193724.wsf d816007de555ff54df7effa5ddc91502
  • VM_03-04-2018_6314879.wsf bfeb9fe3aec072411d6aff8a0b0978ab
  • VM_03-04-2018_6334813.wsf ac448f902c91cd8e80bf6a5a6a704929
  • VM_03-04-2018_6393659.wsf c46d011ff0e009b54c8e311800e7d5e3
  • VM_03-04-2018_6512224.wsf 2271bb5b4081da294e36d1a838cc45a5
  • VM_03-04-2018_6526652.wsf 85536a5a640abc93694ab7f7597521ad
  • VM_03-04-2018_6588999.wsf 76f92469a5d95db9fbdd19efa234dd43
  • VM_03-04-2018_6663726.wsf 01c321a933b792c0eee6acc9899b4c8f
  • VM_03-04-2018_6763572.wsf 50ba9a95241d6282910a0e930d3d9cc5
  • VM_03-04-2018_6786704.wsf 77e050ce002cb988cdab406fb0c369f2
  • VM_03-04-2018_6914701.wsf 45b12a2c6a93a73dccc446df72b2193f
  • VM_03-04-2018_7016051.wsf 924f12cc2cb777536690ed554125cb27
  • VM_03-04-2018_7279504.wsf 647cf9eea4b7e055abe7c3703c7805e5
  • VM_03-04-2018_7419112.wsf 38e653429e4b9847d617a398feeac0d1
  • VM_03-04-2018_7642329.wsf e9bb6175406419c472174589a4231fd4
  • VM_03-04-2018_7725143.wsf e4b0c8ffe570a480a60e0cc24f8111bd
  • VM_03-04-2018_7772768.wsf 582caeaa61f8dac527a96f3ec5fb9f8e
  • VM_03-04-2018_7795442.wsf dfc504dec2c24f5d62eeed66c0ccdf37
  • VM_03-04-2018_7908228.wsf 19383eb09712af11200b7cdbea48375a
  • VM_03-04-2018_8030908.wsf d6122f148252d50cbc5105d9a8501e34
  • VM_03-04-2018_8146412.wsf 63011224fa576b820c47b609e6ed4a35
  • VM_03-04-2018_8341725.wsf de2738bf5181060da43e5559495a0d90
  • VM_03-04-2018_8397542.wsf 68a0e3e352b3c9ca6d2be5c90ba30a9d
  • VM_03-04-2018_8484457.wsf 89118359b445233d09d6c9a8037f7ecc
  • VM_03-04-2018_8627227.wsf 4cb0782f4389e5156922106caf0403a7
  • VM_03-04-2018_8878475.wsf 71762cf4f7354bc2ada40a54cbbf93dc
  • VM_03-04-2018_9151648.wsf 5d7ba7d9fb3b7a972dd93a69485575ff
  • VM_03-04-2018_9698508.wsf e6197f4ba468a5ad63f9ee40fd181781
  • VM_03-04-2018_9716139.wsf 7a97dcff570f94fb8124e2fe95301d48
  • VM_03-04-2018_9825427.wsf 9160e213a08835c1a9ef6faa9764d6e4
  • VM_03-04-2018_9926552.wsf 0c9a5f837f5236fd814b3aa646aab89d
  • VM_03-04-2018_9929230.wsf 4d46f0eebbd611908a445680e0edaf7a
  • VM_03-04-2018_9978982.wsf ecff2279df60b516e06850c5784ba454
Gli Indicatori di Compromissione possono essere scaricati nei seguenti formati: