Nuova ondata di malspam su territorio Italiano

20/04/2018

italia malspam malware

Dal monitoraggio delle fonti è stata rilevata una nuova ondata di mail malevole finalizzate a diffondere malware bancario. Trattasi di campagna di diffusione simile a quella di recente trattata nella news del 16 aprile: “Campagna di diffusione del malware Zeus Panda tramite allegati Excel“. 

In base a quanto rilevato finora, il messaggio malevolo si presenta con
l’oggetto “invia fattura” o “fattura service”. Di seguito alcuni dei messaggi rilevati

 

 

 
 

 

 

Gli headers delle email si presentano nella seguente forma:

  • Data/ora: Mercoledì 2018-04-18 prossima alle 12:28 UTC fino a 12:32
    UTC
  • Ricevuta da: modemtelecom.homenet.telecomitalia.it ([79.7.176[.]132])
  • Ricevuta da: res-59532d.ppp.twt.it ([217.61.160[.]30])

  • Soggetto:
    Invio Fattura
  • Soggetto:
    Fattura service
 

Come allegato alla e-mail, l’utente visualizza un file Microsoft Excel armato di macro malevola. Di seguito rappresentato il messaggio di sicurezza che viene generalmente visualizzato:

 

 

 

Abilitando la macro verrà effettuato traffico di rete
verso i seguenti IP:

  • 46.19.143.72
    porta 443 – librores.press

    GET /symte

Powershell riceve il binario Zeus Panda Banker tramite protocollo HTTPS

  • 191.101.180.78
    porta 80 – CA452A2DC910.ga

    HTTPS/SSL/TLS

Traffico generato da Zeus Panda Banker

 

Di
seguito gli IoC associati alla campagna:

Nome file: Fatture_582_2018.xls

SHA256: 2eecef6f124f190aae4c5552a4da888de07e293dab87d5ae119ef4fca02e24d2

 
Nome file: Fatture_813_2018.xls
 
Nome file:  [nome casuale].exe
 
SHA256: a2a6c7555df39be1025b476a8de5eb42e96e8846bcb316e74ab6d4ae7f0cb5ee

 

Da analisi emerge che la campagna ha una diffusione mirata principalmente all’Italia ma con impatto anche su altre nazioni:



Indicatori di compromissione

 

Si riportano indicatori di compromissione associati a Zeus Panda rilevati da analisi di “threat intelligence” nel frangente temporale dal 17/04/2018 al 19/04/2018.

NOTA: nei file sono inclusi gli IoC riportati nella mail.

IoC (.txt) – SHA256, MD5, Tipo di file e traffico network associato

IoC (.stix) – SHA256, e traffico network associato