Nuova campagna di propagazione malware Gootkit

22/11/2018

gootkit malspam

Nel corso delle consuete attività di prevenzione e segnalazione di incidenti informatici impattanti il territorio nazionale, il CERT-PA è venuto a conoscenza di una campagna di malspam, tuttora in corso, indirizzata a numerose organizzazioni italiane. Dalle informazioni in nostro possesso, il messaggio simula risposte a richieste di preventivo che invitano gli utenti a scaricare ulteriori file tramite appositi link inseriti nel testo.

Il file zip ottenuto tramite click sul link, contiene un file .vbs malevolo e diversi documenti innocui, utilizzati dall’attaccante per rendere più attendibile la comunicazione. Lo script, se eseguito, è in grado di scaricare e installare un variante del malware Gootkit capace di trafugare comunicazioni, smartcard inserite e digitazioni utente.

Queste famiglie di malware sono state utilizzate in più tentativi di attacco, già rilevati sin dai primi mesi del 2018. Esse sono caratterizzate da comunicazioni rivolte al panorama italiano e contenuti apparentemente veritieri, riferiti a tematiche di varia natura. Di seguito si riporta la lista di indicatori di compromissione individuati da Yoroi e dal CERT-PA.


Indicatori di compromissione (fonte Yoroi)

  • Malspam:
    • Preventivo 451369 DEL 0410
  • Dropurl:
    • hxxp://lenam[.uk/fornitura.php?iduser=sPaZ2CkIy
    • 109.230.199[.115
    • hxxps://predisposto.mattpodschweit[.com/comuniv/inter.php7
    • hxxps://mercati.gasheatingrepairs[.com/applicatoni/integerdig.php7
  • C2 (gootkit):
    • 185.248.160[.132
    • comm.clicktravelex[.com
    • ipo.pranavashram[.in
    • bodim.jaipurmurtibhandar[.in
  • Hash:
    • 20970452542599b7b9dd6992163f4403f050d34a8219cd7f17f840a9262470ad zip
    • 6c75f71922aa988ee8a655d1f43b25e80892dbc99451fca38730ed621d61a32b zip
    • a311d2a4b112f35c3bf0e4bc8b8c2d391fe44d2cf83fb681386862bb062fc15c vbs
    • bafd083db8abd4c5e3adf0bfc67af70dc0bd1ea0803457bedc037614594f0e77 vbs
    • 3a1597ea15906753197b14e2b6e7766b32ea315f28772a216bf34e78f0928482 exe

 

Indicatori di compromissione

Di seguito gli IoC aggiuntivi provenienti da fonte closint associati al malware Gootkit rilevati nel mese corrente da fonte riservata e che per comodità vengono forniti in formato testuale scaricabile:

  • IoC (.txt) – File globale : Domini, Urls, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr