Nuova campagna di malspam italiana

13/04/2018

italia malspam malware
Dalle attività di monitoraggio il CERT-PA ha avuto evidenza di una campagna malware italiana, veicolata tramite email con allegato un file Word contenente macro, operativa a partire dalla giornata di ieri 12 Aprile 2018.
Una volta aperto il file doc viene mostrata una schermata che riporta il logo Telepass e chiede all’utente di abilitare la macro per il corretto funzionamento. L’abilitazione della macro attiva la componente malevola che provvede ad effettuare una serie di richieste a server remoti seguendo la seguente logica.
 
 
Lo script VBA contatta in prima istanza una risorsa (un file .jpg) presente sul dominio italiano dell’ “Istituto Superiore per la Protezione e la Ricerca Ambientale” (isprambiente.gov.it) al fine di verificare la presenza di connettività Internet e successivamente, se il download dell’immagine JPG è andato a buon fine, provvede a contattare un server localizzato in Romania dal quale preleva un file eseguibile denominato “plus.exe”.
 
Già dalla giornata di ieri il file “plus.exe” non risulta presente sul server, ragione per cui non è stato possibile procedere con ulteriori analisi al fine di studiarne la natura. Una copia del sample risulta disponibile su Hybrid Analysis, ma il file è stato sottomesso come “privato” pertanto non è stato possibile acquisirne una copia.
 
Provando ad inibire in ambiente di test l’accesso alla risorsa JPG presente sul dominio “isprambiente.gov.it” il sample, non riuscendo a raggiungere la risorsa, termina le attività senza tentare di scaricare il malware dal server rumeno.
 
Informazioni sulla diffusione
 
Nonostante la diffusione maggiore sia avvenuta nel contesto italiano, la campagna non sembra essere finalizzata a colpire esclusivamente utenti italiani ma pare abbia coinvolto altri paesi e target differenti.
 
Di seguito le categorie di Enti impattati
 
Indicatori di Compromissione (IoC) (.STIX)
 
Hash SHA256: 

  • 5e4b74a279fcf9d13a450390491d1b7b3b91732dc847eee3629f970a05c985f5
  • a1a276717034ff1a17979d2b09a5eaf792860a5e5dea87f3c6507a192a427c3f
  • da275c7331d6076afc587826cf71048df79da40283f3e0e2470a4a5818aaa7da