Yoroi segnala una ennesima, pericolosa, campagna in corso contro aziende e enti pubblici italiani. I tecnici di Yoroi hanno intercettato email dirette alle caselle di posta PEC contenenti allegati infetti.

Le email vettore
Le email che diffondono il malware sono approntate per sembrare comunicazioni collegate a problematiche di tipo amministrativo, quella che va per la maggiore vuole convincere l'utente ad aprire l'allegato descrivendolo come una fattura non liquidata.

Email esempio. Fonte: Yoroi Blog

L'allegato, in formato .ZIP, non contiene alcuna fattura, ma script VBS che scaricano e installano sulla macchina della vittima il malware bancario Gootkit, ormai una vecchia conoscenza degli utenti italiani. Sono già decine le campagne, tutte molto simili, mirate a diffondere questa famiglia di malware agli utenti aziendali e delle PA italiani.

Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient'affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia. La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c'è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso, intercettare comunicazioni di rete, smart card inserite ecc...

Indicatori di compromissione

Mittente: xxxxx@pec.it
Oggetto: bonifico a VS favore XXXXX (serie casuale di numeri)
Server di comando e controllo:
C2(gootkit):
185.158.249[.144
ssw.138front[.com
martatov[.top
ami.sigaingegneria[.com
erre.effe-erre[.es
filuetrama[.top
Hash dei file:
EXE: d2fe4bb28c995b71fa6739d870117aa34b0ce3ed1b3b8359a1a244549fe873df
VBS: 365749d27244bef550e760f96e26771d997891f9fc13254aee81b15ac8422df2