Dettaglio News Dettaglio News

Ondata di e-mail con .xls malevoli contro utenze italiane
19/06/2018
In data odierna il CERT-PA ha direttamente rilevato una campagna di malspam volta a diffondere allegati .xls malevoli. I messaggi utilizzati dagli attaccanti sono indirizzati ad utenze Italiane e tentano a far credere ai destinatari di aver intrattenuto scambi di corrispondenza.

Come mostrato di seguito, la peculiarità comune delle comunicazione è il corretto utilizzo della lingua italiana oltre alla medesima infrastruttura network.

Nel primo caso l'invio viene effettuato utilizzando un account PEC:



Nel secondo caso viene utilizzata una casella di posta convenzionale:



In entrambi i casi il metodo di propagazione del malware è affidato a file .xls armati di macro malevola offuscata. Relativamente all'allegato, il fattore di rilevamento da parte degli antivirus è di 11 su 59 produttori disponibili per il tipo di analisi.

Una volta aperto tale file, ed abilitato il contenuto (macro), la catena di infezione determina il download locale di un file PE con funzionalità di trojan ed appartenente alla famiglia Sharik.

La rappresentazione seguente indica la diffusione a livello globale degli hash associati ai file xls:




Le organizzazioni maggiormente coinvolte sono quelle legate ai settori delle Telecomunicazioni, Statali, Costruzioni, Educazione e Tecnologia:



Indicatori di compromissione

Malspam
Oggetto:  RE: FATTURE VENDITA PRIVATA
I: richiesta IBAN PE PAGAMENTO FATTURE
Nome allegato:
201806160770422.xls
Fattura di Vendita 9956423.xls

IoC file

Allegati .xls
MD5: 199c30f63dc72228787f10f43ec3f877
SHA1: 23e9bd91f584cb8458614b14424b3a61331a36da
SHA256: 6319068304818e2dc614a44bf57a70c816cc6e330cc90dd6fc4d7f5455019741

MD5: a8ce6ea1dfaf9b73101ee80198c22824
SHA1: 0c818520afe9e0f16ee48524c67887044982d6f9
SHA256: 98d9c5983a4fab704fe6f36c3920aa2252de0a380c995e8883d7b15820c2c602

File dropper
MD5: 402b25b11cdbb0eda1c3bcb55e3f3e49
SHA1: cea0efe4a7b533bd1b7509f7f4bd053c09095df1
SHA256: 7544141eb65a5bb0c2e3e4909af000006f75afc70cad56107dbf5445dfa830a0

IoC Network
Dropper URL:
  • https://gearwent[.]win/listingto.gif 
IoC dropper:
  • 151.106.14[.]27
  • migyno[.]win

Da analisi CLOSINT sull'infrastruttura network utilizzata per veicolare il malware, emerge un recente e persistente utilizzo del dominio migyno[.]win, per il quale si forniscono gli indicatori di compromissione ad esso associati rilevati nell'arco temporale che va dal 4 al 19 giugno 2018.

IoC_migyno.win (.csv)


Aggiornamento del 20 giugno 2018

A fronte di odierne verifiche sono emersi aggiuntivi indicatori di compromissione che possono essere associati alla medesima campagna.
In particolare, partendo dall'impronta di hashing della Macro (8267e430066c999c006932a7760ed394eebce8f67ff1c69b9817857a98cc77fd) contenuta nel file 201806160770422.xls (98d9c5983a4fab704fe6f36c3920aa2252de0a380c995e8883d7b15820c2c602), emergono ulteriori elementi a conferma della persistenza dalla campagna a danno di utenze italiane.

Di seguito gli ulteriori allegati rilevati basati su Microsoft Excel 97 - 2003:

  • SHA256: 8146a86d4a30bb8fdddc6d66366683cceb156cd57eefe611234b99ba77e5900d
  • MD5: 6b5077bcf7edf4f88a627a28ae864c1a
  • Nome file: Fattura di vendita 6809915.xls
  • VirusTotal 
  • SHA256: be50677e257f9443515b978f1cd58561b900806c8c2451d48253df74ec59bdce
  • MD5: bfdf02900e4f4d2b9c66fe93c6ad5a10
  • Nome file: Fattura ITALIA_06129.xls
  • VirusTotal
  • SHA256: f1d4c079d79b803af8a92edf9b46c9eb94eb5256a076e935a3b09d384dfc30ba
  • MD5: 7824d117c7f83dd83464b6340984bc70
  • Nome file: 63875 fattura di vendita.xls
  • VirusTotal
  • SHA256: b0d942db713ad3a2066decfc84f22d5266412486dc30e4525cdee915112ab8c7
  • MD5: e38f5e5186161d5e6f92edaff6873814
  • Nome file:
  • VirusTotal
  • SHA256: 2148e5f46182c31eed25c481f1d7eb657ca64e548c2c09527a89af26c59a2b5b
  • MD5: 941ee435999a36b212beedbd7ebdbe5a
  • Nome file: 46552 fattura di vendita.xls
  • VirusTotal
  • SHA256: 7bd267c01789d7d5bdf701e7747e1c76fdb9e9f267a4e1e4ff46ed0d3cef4492
  • MD5: b08b04de02f5b5b581f3e99026fea8bd
  • Nome file: Fattura di Vendita 7488104.xls
  • VirusTotal