Phishing: Finta notifica da parte di DHL

06/04/2018

dhl phishing
Negli ultimi giorni, con impatto parziale anche nel contesto Europeo, è emersa una nuova campagna di phishing che utilizza riferimenti della nota compagnia di trasporti DHLvolta a diffondere malware.
 
La tipologia di attacco prevede l’interazione dell’utente, infatti gli attaccanti confidano sull’utilizzo del marchio DHL per far apparire legittimo il messaggio e una finta consegna per innescare la curiosità nell’utente.
 
L’eventuale apertura del collegamento, riportato nel corpo del messaggio come mostrato nell’immagine seguente, darebbe seguito al download locale di file malevoli da siti web appositamente creati dai phisher. Di seguito un esempio della mail:
 
 
I file Doc richiamati dal collegamento web sono armati con macro che, qualora attivata dall’utente, conclude la catena di infezione richiamando ed eseguendo un paylod remoto. Per il caso riportato il malware è di tipo bancario (Zeus Panda Banker).
 
I messaggi di questa specifica campagna hanno mittenti e caselle seguenti:
  • “DHL ” <delivery@texaspipeworks.com></delivery@texaspipeworks.com>
  • “DHL ” <delivery@timmaloneysales.com></delivery@timmaloneysales.com>
  • “DHL Express” <delivery@factorco2.com></delivery@factorco2.com>
  • “DHL Express” <delivery@texaspipeworks.com></delivery@texaspipeworks.com>
  • “DHL Express” <delivery@timmaloneysales.com></delivery@timmaloneysales.com>
  • “DHL Inc.” <delivery@texaspipeworks.com></delivery@texaspipeworks.com>
  • “DHL Inc.” <delivery@timmaloneysales.com></delivery@timmaloneysales.com>
L’oggetto utilizzato è:
  • You have a package coming
  • You have a package coming from DHL
  • You have a package coming to you
  • You have a package on it’s way to you
  • You have a package on its way
  • You have a shipment coming
  • You have a shipment coming from DHL
  • You have a shipment coming to you from DHL
  • You have a shipment on it’s way
  • You have a shipment on it’s way from DHL
  • You have a shipment on it’s way to you
  • You have a shipment on it’s way to you from DHL
  • You have a shipment on its way from DHL
 
I collegamenti web dai quali possono essere scaricati i doc malevoli sono:
  • hxxp://arcpercussivewelder.com?*
  • hxxp://arcpercussivewelding.com?*
  • hxxp://austinrealestateexchange.com?*
  • hxxp://bonitaluxe.com?*
  • hxxp://colloidsforlife.co?*
  • hxxp://dfwrealestateexchange.com?*
  • hxxp://durawares.com?*
  • hxxp://joliethearingcenter.net?*
  • hxxp://marnicobeauty.net?*
  • hxxp://marnicobeauty.us?*
  • hxxp://silvercolloidal.co?*
  • hxxp://silverwater.co?*
  • hxxp://tilvera.com?*
*[stringa di caratteri]=[stringa codificata associata alla casella e-mail]
 
 
Di seguito gli IoC malware:
 
Documento Word con macro
Payload Zeus Panda Banker
 
Approfondimenti ed analisi
Partendo dalle informazioni disponibili sul caso indicato, il CERT-PA fornisce aggiuntivi indicatori di compromissione emersi, tramite analisi CLOSINT, in relazione ai domini malware utilizzati ed attivi associati alla campagna.
Di seguito il numero di indicatori di compromissione rilevati a partire dal 1 Aprile 2018 per ogni dominio:
  • api.ipify.org (152 indicatori)
  • onkesandre.com (1 indicatore)
  • risparmiato.com (1 indicatore)
  • oldsinedtdin.com (3 indicatori)
  • ledrighlittleft.ru (1 indicatore)
  • torscimeled.ru (1 indicatore)
I dettagli sono riportati nei file seguenti: