Recente evento di malspam diffonde trickbot in Italia

09/01/2020

malspam trickbot

Il CERT-PA ha direttamente rilevato una nuova campagna di malspam volta a diffondere il malware Trickbot.

Il caso osservato mostra le seguenti peculiarità:

  • utilizzo della lingua italiana;
  • la variabilità del mittente, oggetto, corpo e nome dell’allegato;
  • il messaggio contiene un file “documento_doganale_XXXXXXX.doc” armato con macro malevola;
  • caselle mittente reali plausibilmente compromesse;
  • basso fattore di rilevamento del malware da parte degli antivirus.

Di seguito due dei messaggi analizzati:

 

L’allegato malevolo utilizza una parte statica e ricorrente “documento_doganale_” seguita da un valore numerico variabile di sette cifre tra cui:

TrickBot, noto per essere nativamente un malware bancario, ha nel tempo subito numerose e diverse specializzazioni. Alcune di queste lo hanno reso particolarmente insidioso negli ambienti aziendali e nel corso degli anni ha visto l’utilizzo di tecniche differenti tra cui: profilazione della rete, raccolta di dati di massa, inclusione di exploit. L’ultima ricerca in tal senso, effettuata da SentinelLab, ha notato un legame di Trickbot con gruppi organizzati e minacce persistenti di tipo avanzato (APT).

Indicatori di compromissione

IoC (.txt) – Hash, IP,  Dominio\Urls
IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Nota: L’IP riportato tra gli indicatori di compromissione è già stato notato a partire dal mese di novembre 2019 ed utilizzato per veicolare Emotet come a gateway per Trickbot nella diffusione del ransomware Ryuk.