Nuova campagna di malspam verso utenti Italiani

04/05/2018

gootkit italia malspam ursnif
Dal monitoraggio delle fonti interne, il CERT-PA è venuto a conoscenza di una nuova ondata di mail malevole finalizzate a diffondere malware bancario.
 
Dai riscontri del CERT-PA la recente campagna risulta indirizzata ad utenze ed organizzazioni italiane. Le email fraudolente tentano di impersonare comunicazioni di varia natura provenienti da aziende terze con riferimenti a sinistri, citazioni o richieste di ticket fittizi. I messaggi di posta individuati contengono un documento Word malevolo in grado di scaricare e mettere in esecuzione due tipologie di malware: la principale riconducibile a varianti della famiglia Gozi/Ursnif ed in seguito varianti malware Gootkit.
 
Di seguito una rappresentazione tipo del documento Word malevolo individuato:
 
Queste famiglie di malware sono state utilizzate in più tentativi di attacco, ad esempio un evento relativo a Gozi/Ursnif è descritto nel bollettino CERT-PA-B003-180322 del 22/03/2018, e risultano in grado di trafugare informazioni potenzialmente riservate, intercettare credenziali utente, installare backdoor sul sistema permettendo agli attaccanti di controllare le macchine compromesse.
 
La diffusione degli indicatori a livello geografico riportano l’Italia tra le nazioni con maggior numero di eventi rilevati:
 
Di seguito gli indicatori di compromissione associati alla campagna in oggetto:
 
Malspam:
        
Oggetto (potrebbe variare ulteriormente in personalizzazione a seconda della vittima):
            Re: Re: Condominio – documentazione sinistro
            Re: Gioca e vinci con
            Re: Modalità invio fatture
            Re: Cambio denominazione commerciale di Alfa & in 
            Re: I:  Possibili malfunzionamenti in fase di accesso alle VDI (VMWare Horizon)
            Re: R: 2016.0085.5041 Alpino
            Intermediario : Ticket N. 185998 in stato Richiesta ISSUE=185998 PROJ=35
            Re: R: scadenza febbraio avviso scadenza
            Re: Assicurazioni : rispondi e vinci
            Re: presenze di aprile
            Re: Fw: Offerta Spot 1150518TVG RITIRO PER ESTERO
            Re: Conferma 1101 Vs. ordine 362122
        Re: R: Oggetto:Sin. MUTUA N. 2014/0099/50790 del 2582014 Citazione Tribunale di Bologna Rgn. 2760 /2017
            Re: / /
        
Allegati:
            Richiesta.doc 
            *_Richiesta.doc (e.g. AM_Richiesta.doc)
        
Mittenti:
          account potenzialmente compromessi (e.g. *@studiotartagni .it *@morettiamministrazione .it *@studiolegalealvisi .it *@grupponovello .it *@legalivr .it *@virgilio .it *@corsirimini .it, ed altri)
    
Dropurl:
        qw6e54qwe54wq[.com
        g98d4qwd4asd[.com
        sdf5wer4wer[.com
        qw8e78qw7e[.com
        http:// qw8e78qw7e[.com/cachedmajsoea/index.php?e=iterd
        http:// qw8e78qw7e[.com/lipomargara/iterd.yarn
        http:// exhibitorsuccess[.com/img/internet_explorer/ky.rar 
        http:// exhibitorsuccess[.com/img/internet_explorer/vv.rar
    
C2 (Ursnif, https):
        89.37.226[.12
        werwaarogonase[.net
        fhjjndiasnew[.net
        axewansdownew[.net
    
C2 (Gootkit , https):
        109.230.199[.169
        sph.expoartshop[.com
    
Hash file:
        163d9c5299304673f2660d5f71bbf18572288fc36be63b56386b9659760b9238 – file doc
        d4c3bf7c8f3c3fabe4fe43c63f3f608818d8c375626d786bd483ee5d7f7f7a7c – file doc
        0aedc383249d01777a876bac214a654749e3d52b78c0b2afbfe0caf018678cba – file doc
        4b9c7c5802cdc120c0d0e5e0e21cbcb6915ce4010f931e2313d69b4f925b5f7d – file doc
        c79db04ecade3813d98209e48a94a8291475b3320e2966206e5e4ce416cd1d6e – file exe
        cf03b1055a34f9dd559eef55558c40cf17df5fe59ab5381b44516b3fedd2ce83 – file exe