Massiccia campagna Gootkit con target Italia veicolato via PEC e PEO

28/03/2019

gootkit malspam pec

A partire dalla giornata di ieri, il CERT-PA ha avuto evidenza di una corposa campagna di malspam indirizzata ad account email di tipo PEC e PEO della Pubblica Amministrazione. In data odierna numerose PA hanno segnalato il problema lamentando appunto che i contenuti malevoli veicolavano principalmente via PEC.

Al momento sono state osservate due tipologie di mail, una con oggetto “Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007” e in allegato un file compresso denominato “Tribunale_di_Napoli__ABCDEF.zip“, con ABCDEF numeri casuali.

Mentre una seconda tipologia riporta come oggetto “invio sollecito n.105543 del 27/03/2019” e in allegato un file denominato “Tribunale_di_Napoli__ABCDEF.zip“.

L’allegato compresso contiene al suo interno un file omonimo con estensione .docm all’interno del quale è presente una macro malevola con un livello di offuscazione piuttosto lieve.

L’analisi della macro evidenza il fatto che l’esecuzione del codice è concesso solo a sistemi le cui impostazioni della lingua risultano configurate in lingua italiana. Una volta soddisfatta questa condizione, il codice provvede a scaricare un file eseguibile (solitamente puntando ad una risorsa denominata “501“) da un dominio remoto precedentemente compromesso. Il file verrà successivamente rinominato “IntelMeFWServic.exe

Per sicurezza, qualora la risorsa non fosse disponibile, il codice malevolo provvede a scaricare un ulteriore file di tipo JavaScript da un domino differente. Il nuovo file JS, denominato “SearchI32.js”, anche quest’ultimo leggermente codificato, ritenta il download del file eseguibile “501” da un nuovo repository.

Dalla decodifica del codice è possibile osservare la generazione di script powershell che avrà il compito di lanciare il file eseguibile sul sistema target.

Come già anticipato, la campagna veicola il malware Gootkit, di cui il CERT-PA ha avuto occasione di analizzare svariati campioni nell’ultimo periodo, compresa la variante riportata nel recente Bollettino.

Sia i dropper che i malware analizzati risultano del tutto simili tra loro, eccezion fatta per i server utilizzati per distribuire il malware e i C&C contattati da quest’ultimo. Nella sezione a seguire si riportano gli indicatori di compromissione rilevati dal CERT-PA.

Indicatori di compromissione

IoC (.txt) – File globale : Domini, hash files (SHA256), URL

IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr