Malware veicolato tramite finte comunicazioni da parte di DHL

13/07/2018

dhl malware
In data odierna il CERT-PA ha rilevato, ed analizzato, un caso di malspam che è plausibilmente associato ad una campagna in atto rivolta contro utenti ed organizzazioni Italiane.
Il caso rilevato utilizza una falsa comunicazione proveniente da DHL e caselle mail precedentemente compromesse. Di seguito la rappresentazione grafica del messaggio di malspam:
L’allegato utilizzato si chiama “PRT_5789383485.zip” e contiene il file “PRT_5789383485.bat” a cui sono associati rispettivamente gli SHA-1 seguenti d5ea0e00bc83b98692184a66cc4b7d51b887a253 e 5755211d67f82feffdb749064e51921b1ced9519.
L’esecuzione del file bat determina, su ambienti Windows, il download remoto del payload 32 bit tramite protocollo HTTP con metodo GET alla URL seguente:
  •  www.aptigence[.]com.au/gmail.php
La funzione di download
Risulta offuscata come da immagine seguente:
L’uso improprio di certutil come strumento per il download del payload codificato in base64 consente di eludere alcuni controlli di sicurezza dei software antivirus in quanto strumento integrato in Windows ed utilizzato nativamente per scaricare certificati digitali.
 
Il payload “AU3_EXE_crypt.exe(SHA-1 6bbc7639f25449cb36d5c974907da96d728a7069) utilizza vari livelli di offuscamento. Tale file, una volta scaricato ed eseguito viene ulteriormente decodificato in memoria. 
 
Dall’analisi del codice è possibile identificare funzionalità relative alla cattura di informazioni quali:
  • portafogli di varie cripovalute eventualmente presenti sul sistema
  • credenziali/dati di vari programmi come Skype, Firefox, Steam, Edge, Telegram ed altri
  • dati del sistema colpito tra cui nome utente, nome macchina, ip ed altre. 
Di seguito la rappresentazione parziale delle funzioni rilevate:
Da una analisi preliminare del sample, il C&C contattato risulta essere il seguente dominio “.it”:
  • login.giocherialaragnatela[.]it
Nello specifico, il dominio è ricavato dall’informazione della URL rilevata nel codice (login.giocherialaragnatela.it/azs/index.php)
 
Indicatori di compromissione al momento individuati
 
Malspam
OggettoInfo spedizione DHL Express
Mittente: tecna@geognostica.it
 
Nome allegatoPRT_5789383485.zip
 
IoC file
MD5: 2ca10f9cac3422d16ee1bd34bf99e067
SHA256: 7120983f8bbbd6f003b743da2650e5274493b469b77978ce0a1faebc2cbd4acf
Analisi file: https://infosec.cert-pa.it/analyze/2ca10f9cac3422d16ee1bd34bf99e067.html
 
MD5: e869be82922e2f3ae3ecba8e0501cb63
SHA256: 5a26ee59d66a3e390ebc45a8c9c2a08196135c206fd9b43024bd27ef8e0c30b2
Analisi file: https://infosec.cert-pa.it/analyze/e869be82922e2f3ae3ecba8e0501cb63.html
 

IoC Network
Dropper URL: http://www.aptigence.com.au/gmail[.]php
C&C: login.giocherialaragnatela[.]it/azs/index.php

 

 
 
Approfondimenti
Analisi ulteriori sono in corso al fine di determinate la natura del malware.
Da ricerche di threat intelligence sugli IoC rilevati emerge che il dominio giocherialaragnatela.it è, nel recente passato, strettamente utilizzato in relazione al malware bancario della famiglia Ursnif.
Si forniscono di seguito gli indicatori di compromissione associati al dominio login.giocherialaragnatela[.]it nel frangente temporale 15 maggio al 9 luglio 2018:
 
IoC (.txt)