Nuova campagna GootKit veicolata sulle PEC italiane

10/06/2019

gootkit malspam malware pec

Il CERT-PA ha avuto evidenza di un nuovo attacco alle PEC italiane che sta diffondendo, a partire dal giorno 7 giugno 2019, una variante di Gootkit, malware in grado di trafugare informazioni potenzialmente riservate, intercettare credenziali utente, installare backdoor sul sistema permettendo agli attaccanti di controllare le macchine compromesse.

I contenuti malevoli, ricevuti dallo stesso CERT-PA e segnalati da varie PA, sono stati veicolati da caselle PEC appartenenti ai provider Legalmail.it, Aruba.it e Register.it.

I messaggi, contenenti presunte violazioni del codice della strada riconducibili alla Polizia Locale di Arezzo, hanno come oggetto “Atto amministrativo relativo ad una sanzione amministrativa prevista dal Codice della Strada Nr. Y/xxxxxx/2019” e in allegato un file compresso denominato “AttoAmministrativoABCDEF.zip“, con ABCDEF numeri casuali.

L’allegato compresso contiene al suo interno un file Excel “ScanABCDEF” con ABCDEF numeri casuali ed estensione .xlsm, all’interno del quale è presente la macro malevola.

Qualora lo script venga eseguito, la catena d’infezione prevede lo scaricamento di una variante malware Gootkit, già trattato dal CERT-PA in precedenti casi.

Indicatori di compromissione

  • IoC (.txt) – File globale : hash files (SHA1, MD5, SHA256), URL
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr