ALERT CERT-PA: due campagne in corso in Italia diffondono trojan

Il CERT-PA ha pubblicato due alert riguardanti altrettante campagne di diffusione di trojan rivolte esclusivamente contro utenti italiani.

Si tratta, in entrambi i casi, di campagne di email di spam che contengono archivi dannosi contenenti, a loro volta, due diversi malware: Gootkit, che è una vecchia conoscenza, e sLoad. Vediamo nel dettaglio le due campagne, ricordando e ribadendo quanto sia importante essere prudenti (e sfruttare una sandbox) quando si ricevono email inaspettate contenenti link o allegati.

1. La campagna spam diffonde Gootkit
Questa campagna è caratterizzata da email di spam in lingua italiana indirizzate principalmente alla Pubblica Amministrazione, aventi come oggetto “Internal Error” e contenenti un link che rimanda ad un file ZIP.

Fonte: https://www.cert-pa.it/

Il file ZIP che viene scaricato cliccando sul link contenuto nel messaggio si presenta di volta in volta con nome differente, ma ha una ricorrenza: l’uso del termine “Fattura” seguito da una serie di numeri. L’archivio contiene in realtà un file VBS che, una volta eseguito, esegue un PowerShell tramite il quale scaricare JasperLoader. Questo malware altro non è che un Remote Access Trojan che viene usato per diffondere il trojan bancario Gootikit.

Per gli indicatori di compromissione rimandiamo al link originale di CERT-PA.

2. La campagna spam diffonde sLoad via PEC
Questa campagna di malspam è stata individuata stanotte ed è rivolta contro aziende e professionisti: sfrutta il canale di comunicazione PEC per diffondere malware.

I mittenti appaiono essere un numero limitato, comunque account email compromessi in precedenza forse proprio per avviare la campagna di malspam. L’email è scritta in lingua italiana, fa riferimento in più parti alla possibilità di verificare la legittimità del messaggio e del mittente stesso e c’è pure un richiamo legale al principio di riservatezza. Si invita infine a consultare il sito dell’Agenzia per l’Italia Digitale per verificare la firma digitale: tutte tecniche di ingegneria sociale usate per convincere il destinatario della veridicità e attendibilità del messaggio e della fonte.

L’allegato contiene due file:
comunicazione clientela.pdf
comunicazione clientela.vbs

Fonte: https://www.cert-pa.it

L’apertura del file PDF restituisce un errore nel quale si specifica che non è possibile aprire il documento. L’utente è così indotto ad aprire il file VBS: all’apertura del file VBS segue la corretta visualizzazione del file PDF.

Fonte: https://www.cert-pa.it

Mentre l’utente è distratto dalla lettura del PDF, il file VBS esegue codice dannoso tramite PowerShell e scarica sLoad. Una volta che sLoad è nel sistema, si mette in attesa di istruzioni dal proprio server C&C. sLoad è una backdoor capace di funzionare anche da keylogger e che consente l’installazione di ulteriori malware sul sistema infetto.

Per gli indicatori di compromissione rimandiamo al link originale di CERT-PA

logHD1

YOTTA WEB - Via Don F. Cabrio 14/D - 13900 Biella (BI)

P.IVA 02552590024 - C.F. SNTSVR77S27A859C - REA BI 194613

Copyright 2017 © YOTTA WEB All Rights Reserved

Privacy Policy