Nuova Campagna di Attacco Gootkit

24/09/2018

gootkit malware
In data odierna i ricercatori Yoroi hanno individuato una persistente campagna di attacco rivolta a molteplici Organizzazioni ed Aziende italiane.
I tentativi di compromissione sono caratterizzati dall’invio di email fraudolente che simulano comunicazioni legate a documentazione di bolle di spedizione.

All’interno delle email recapitate è presente un collegamento ad un archivio compresso “Nuova immagine bitmap (2).zip” contenente uno script malevolo di tipo Javascript. Una volta eseguito, lo script è in grado di ingannare l’utente simulando l’apertura di un reale documento Pdf, tuttavia nel frattempo procede all’installazione del malware afferente la famiglia Trojan/Gootkit: minaccia in grado di intercettare comunicazioni effettuate dall’host infetto, smartcard inserite e digitazioni utente.

La figura seguente mostra le porzioni di codice dell’Impianto Gootkit estratti in fase di analisi dai ricercatori Yoroi.
 

Di seguito si riportano gli indicatori di compromissione individuati:

Malspam:

        Oggetto: “L’ordine N. YT Spedito A Domicilio”

 
Dropurl (zip):

       hxxp://followjerry[.com/FilesDownload.php?id_msg=d3i8HVJuMuXGTR4B

       hxxp://annakennedy.]co.uk/documentload.php?jwh=3Dt4bR1tn

       hxxp://iwantmylifeback.]co.uk/documentload.php?jwh=3DK1irEDC
 
Dropurl (exe):

        hxxps:// della.themeshigh[.com/crowded/first.sip
hxxps:// scopri.wpeverimport[.com/great.lib
hhackzgjnjfwbuttuzjo[.com
betjzoqxlezo[.com

 
Decoy url (pdf):

        hxxps:// www.ordineavvocatibelluno[.com/upload/news/circolare%20software%20formazione%202018.pdf
 
C2 (Gootkit):
 
       176.10.125[.51

       bannerskeepers[.com
eldak.brucewjohnson[.net
ch.digitalandanalog[.co[.in


Hash:

        7e3cfd03d5e97a01dd9c613ba37803cb78d88a86a7e69101618121b9db418bed  File zip

        f0d0099cd0d82a14cd0c1986fa6f22af3709e0db357c3c70eb33974f3ced3773  File js
45eecfcbc8a65f4e3bdf377e3d68a193035351c77dc33fc2a7e5439ada78c8db  File exe
7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820  File exe

Ulteriori analisi sulla diffusione della campagna da parte del CERT-PA sono di seguito riportate:

 
Hash:
 
3344b22811e1aa41f40fe5c98148aca8b7241fa60f6cb7c323d0b8d32e9c277d File exe
13eade4b17f22665ede04ad6341aae5a540b79ffc635d8a5dde5538c46a896c3 File exe
047b3a501ee8f6452bf784cc6867734f9315520439cc10a2cf8f52e1f6fbe073 File exe
29d91f8610becee65ccc18015dd12ef2b3321ac02a83c9013d467b4b79360919 File exe
59f092738d9868f3fb1602d2038a2a4cd3e1ee7b6bc9c880afcf76c749cf1923 File exe
7ce79d05d0e2cb0222ebe15a3817e46aca5d4abd7587c5c19549d4e857cca458 File exe
f72b6c2813b40ae5cb3ab909087d0b9fd2d409d2f563f956caef52f4f51729e4 File exe
42b3388df9f230e3eb2e04b0874cb100202cc8bbe8d5e0e458f29b6987344cfc File exe
7519affa83987cb300757a083e59e7c2e69e59655ece37c675e95261670a8820 File exe
b3aef4fa5b26c72989bbe03f84e93110413c69c50a51113eb63736f04d3cad0a File exe
a6696f9660760c3b27e8255361f2c46f068679f901b0cfe5ef731288945f36b7 File exe
457c2a4da6b4de856689afb424a98bf05cc90ec9102f671319dcbd1eea39c922 File exe
2cd2d6288b0842f020af21e3d89bcd0b3d1141c2ef93f9f3b04a6c07e9ae271e File exe