Nuova campagna di malspam utilizza un server localizzato in italia per diffondere malware

12/10/2018

italia malspam malware

Dalle attività di condivisione di informazioni con altri centri nazionali, emerge una nuova campagna di malspam che utilizza la vecchia vulnerabilità dell’editor delle equazioni di Office (CVE-2017-11882) per diffondere malware. Il malware in questione, le cui analisi sono in corso di completamento, viene prelevato in modo silente in seguito all’apertura dei documenti Office (Excel) malevoli. L’interazione utente si rende necessaria per avviare il primo stadio della catena di infezione quindi tramite collegamenti presenti nel corpo delle e-mail che invita ad aprire tali contenuti da siti esterni.
Nel caso osservato tali file Office, oltre alle componenti aggiuntive (file PE) cui fanno riferimento, sono localizzati su un server nel territorio italiano:


La tecnica di utilizzare file Microsoft Office, che inglobano RTF per avviare la componente exploit, sono già notoriamente utilizzati per diffondere malware come osservato di recente dal SANS anche a danno di utenze negli Stati Uniti.La campagna in oggetto è stata osservata solo indirettamente pertanto non sono noti i dettagli relativi ai messaggi di posta elettronica inviati quindi se le vittime sono state selezionate con l’intento di colpire utenze private o afferenti al dominio della P.A. Dai nomi assegnati ai file Office, che non utilizzano termini in italiano, non si esclude che i target della campagna di malspam siano dislocati anche oltre il confine nazionale. Sunto dell’Analisi del CERT-PA

Dall’analisi dei sample rinvenuti è stato possibile osservare che il malware evita di compromettere gli host il cui nome utente contiene le seguenti keyword:

“Johnson”, “Miller”, “michael”, “Abby”, “Emily”, “John”

In base al sistema operativo su cui è stato eseguito sfrutta una vulnerabilità ad-hoc per scalare di privilegi.
Tra le funzionalità rilevate emergono le seguenti compenenti:

  • Keylogger
  • MouseTracker
  • Screenshot Capture
  • Webcam Snapshot
  • Disabilita gli strumenti di amministrazione comune (msconfig, regedit, cmd, …)
  • Utilizza chiavi di registro per la persistenza
  • Può essere configurato per terminare una lista di processi
  • Può essere configurato per scaricare un payload ed eseguirlo
  • Esfiltra le credenziali dalle applicazioni di uso comune come Browsers, keychain, client FTP, client di posta

Per comunicare le informazioni esfiltrate può utilizzare uno o più tra i seguenti metodi:

  • Richiesta POST verso il C&C
  • Condivisione FTP
  • Tramite protocollo SMTP

I campioni analizzati dal CERT-PA utilizzano tutti il protocollo SMTP. Gli account email rilevati sono i seguenti:

  • p5@sdbiosensors.com
  • okilo@acrotecna-it.com

Indicatori di compromissione

Tramite attività di “threat intelligence” è stato possibile identificare un numero consistente ma non esaustivo di indicatori di compromissione.

IoC(.txt)

Ulteriori elementi verranno forniti non appena concluse le analisi e di conseguenza non appena emergeranno elementi utili a definire l’impatto della minaccia.

Il CERT-PA ha prontamente informato i referenti del sito internet abusivamente utilizzato per diffondere il malware. La vulnerabilità CVE-2017-11882 viene ripetutamente utilizzata in attacchi veicolati via e-mail nonostante sia stata individuata e risolta alla fine dello scorso anno, a tal proposito si consiglia di verificare il livello di aggiornamento della componente Office in uso qualora risulti tra quelle affette.