Statistiche e ricorsività della campagne di malspam con target Italia

31/05/2019

malware

Dal monitoraggio delle campagne malevole veicolate nel mese di maggio 2019 e riguardanti principalmente la pubblica amministrazione, per le quali il CERT-PA ha prodotto e condiviso i relativi IoC, è emersa un’alta percentuale di eventi legati alla diffusione malware di tipo Ransomware, seguita dalla inarrestabile ondata di malware di tipo Banking Trojan che ha coinvolto anche strutture private, e da una corposa serie di campagne malevole di tipo Sprear Phishing mirate principalmente al furto di credenziali istituzionali.

Di seguito un grafico rappresentativo degli eventi registrati e gestiti dal CERT-PA:

Relativamente alle campagne malware che hanno coinvolto rispettivamente strutture pubbliche e private, la situazione sembra essere stazionaria già da diversi mesi. La serie di email fraudolente volte a veicolare i famigerati malware Ursnif e Gootkit, progettati per il furto di credenziali bancarie, non accenna ad arrestarsi; idem per il ransomware Gandcrab che negli ultimi mesi non ha risparmiato l’Italia e in fine Formbook che nonostante in passato sia stato veicolato per compromettere bersagli ben precisi, di recente sembra essere diffuso massivamente senza puntare ad un target specifico.

Proprio in merito a questi ultimi malware, grazie alla collaborazione di un ricercatore indipendente JAMESWT_MHT che sulla piattaforma Twitter contribuisce quotidianamente al monitoraggio degli eventi malevoli, il CERT-PA ha tenuto traccia delle attività dei cyber criminali svolte nell’arco delle ultime due settimane riguardanti esclusivamente il territorio italiano. Quel che è emerso dalle analisi è che le campagne di malspam con malware Ursnif si sono rilevate in molti casi “fallate”: il link nel corpo delle mail era errato o il file allegato, solitamente uno zip, conteneva i file malevoli senza il payload utile a compromettere il sistema.

La cosa più interessante invece riguarda la cadenza, quasi una routine, delle campagne monitorate. Si rileva un’alternanza piuttosto regolare nella diffusione di specifici malware cadenzata nei giorni della settimana. Ad esempio, nello specifico caso di Ursnif, in certi giorni il malware può essere veicolato tramite link presente nel corpo delle mail, in altri diffuso tramite allegato DOC e giorni in cui viene utilizzato un allegato in formato XLS o VBS.

Di seguito un breve riepilogo delle due settimane di monitoraggio dal 20 al 31 maggio 2019

Ursnif è stato diffuso tutti i giorni della settimana, dal lunedì al venerdì, con allegati XLS o VBS, spesso inclusi all’interno di archivi compressi e protetti con password (riportate in chiaro nel corpo della mail) o tramite link che punta al download di un archivio contenente uno script VBS.

Il martedì e il mercoledì sono le giornate puntualmente dedicate a veicolare Gootkit, sempre insieme a Ursnif.
Il giovedì oltre a solito Ursnif vengono veicolate altre tipologie di malware: Gandcrab e Formbook (giovedì 23) e Lokibot e Nanocore (giovedì 30).
Il venerdì chiude la settimana Ursnif che giorno 24 riciclava un vecchio payload mentre oggi, 31 maggio, è stato veicolato tramite link per il download di un archivio .zip che erroneamente non conteneva il file vbs.

Conclusioni

Tali evidenze, nonostante siano basate su casistiche non esaustive in termini temporali, evidenziano che codeste campagne siano orchestrate da uno o più gruppi criminali il cui fine è quello di produrre, direttamente o meno, illeciti profitti economici a danno di utenti italiani.

Si presuppone inoltre che per massimizzare gli attacchi i cyber criminali abbiano escogitato:

  • una metodologia che consente loro di ottimizzare al meglio le operazioni, veicolando malware principalmente nei giorni feriali;
  • una logica organizzativa che prevede una ricorsività nel metodo di diffusione;

Inoltre, gli errori emersi nelle campagne di malspam, nella catena di infezione e nell’utilizzo delle medesime credenziali di accesso ai server di C&C, lasciano presupporre, con buona probabilità, che i criminali non siano gli stessi autori del malware ma utilizzino infrastrutture esistenti, spesso disponibili a noleggio presso i black market, puntando principalmente a compromissioni di tipo massivo.

Taggato  malware