Torna FTCODE: il ransomware distribuito via PEC contro utenti italiani
venerdì 19 giugno 2020
L'alert dello CSIRT è di ieri pomeriggio: è stata individuata una campagna di email di spam, avviata ieri alle ore 6.30 circa tramite email PEC. Mira a utenti privati e ad alcune strutture della Pubblica Amministrazione.
Per ora pare una sola la tipologia di email in circolazione, recante come oggetto "Tribunale di Napoli Notificazione ai sensi del D.L. 179/{numeri casuali}": avverte la vittima di un fantomatico contenzioso civile, ovviamente inesistente. L'email è resa più credibile dalla presenza, nel corpo email, di nomi afferenti a personale che realmente opera presso il Tribunale di Napoli.
Fonte: https://csirt.gov.it/
La catena di infezione si avvia quando l'utente fa clic sul link in allegato per "prendere visione degli allegati che costituiscono gli atti notificati".
Il link infatti punta ad un sotto dominio chiamato "documenti" di una serie di domini compromessi, che sono stati manipolati per reindirizzare la vittima al documento dannoso: si tratta di un archivio .ZIP caricato su Dropbox e denominato "MicrosoftWord_e880c7b8fb4b7601ce0583ec5d896d5e.zip". Questo file compresso contiene in realtà uno script VBS con lo stesso nome il quale, una volta eseguito, lancia il seguente script PowerShell:
Fonte: https://csirt.gov.it/
Lo script in download è proprio il ransomware FTCode.
Per approfondire >> Rilevata nuova variante del ransomware FTCode: l'alert del Cert-PA
In realtà in nuova versione, perché presenta due funzionalità particolari:
una per il furto di credenziali da clienti di posta come ThunderBird e Outlook e dai browser Chrome, Internet Explorer e Firefox;
una per scaricare e pianificare l'avvio di un altro script VBS, attribuibile a JasperLoader (vedi paragrafo relativo), che scarica un PowerShell per contattare il server di comando e controllo riportando la corretta eseuzione dell'infezione e attendendo istruzioni per eventuali altri payload.
Altre funzionalità dannose oltre alla criptazione:
lo script VBS è una copia di quello eseguito a inizio infezione per il furto password. Viene eseguito al riavvio della macchina per garantirne la persistenza;
uno script recupera anche informazioni sui domini Windows sui quali è registrata la macchina, comprensiva di utenti e informazioni sui Domain Controller;
l'ultimo script serve a diffondere il malware via email: utilizza l'elenco di indirizzi email con relative credenziali che viene recuperato dal server di comando e controllo. Se le credenziali sono valide, lo script risponde ad ongi invio email con un messaggio preimpostato contenente il link al payload iniziale.
FTcode non ha soluzione: lo CSIRT consiglia l'implementazione degli Indicatori di Compromissione (IoC) nei sistemi di sicurezza.
Qualche accenno su JasperLoader
Questo malware, che colpisce solo gli utenti italiani, viene continuamente implementato dagli attaccanti per sfuggire alle attività di controllo intraprese dalle aziende antivirus. Gli esperti di Cisco ci dicono che "Le campagne attualmente in corso per la distribuzione di JasperLoader continuano a colpire vittime italiane e dimostrano ulteriormente che, sebbene JasperLoader sia una minaccia relativamente nuova nello spazio di distribuzione del malware, gli sviluppatori che lo gestiscono continuano a perfezionare e migliorare attivamente questo malware ad un ritmo sempre più veloce e con una sofisticazione senza precedenti nell'ambito dei malware a sfondo finanziario".
Le versioni più recenti di JasperLoader infatti, mostrano l'implementazione di strumenti volti all'elusione dei controlli dei software antivirus (ad esempio l'offuscamento del codice) e meccanismi antisandbox / antihoneypot per impedire ai ricercatori la possibilità di analizzare il codice dannoso.
JasperLoader è una backdoor che garantisce agli attaccanti l'accesso remoto ad una macchina: questo significa che, anche in caso di risoluzione di un'infezione malware, gli attaccanti conservano comunque un accesso remoto al sistema infetto. Per questo viene utilizzano nella diffusione di più malware, dal trojan Gootkit al ransomware Maze (per limitarci agli ultimi mesi).
Ad ora non esiste una soluzione per recuperare i file una volta cifrati senza pagare il riscatto, quindi dobbiamo, SEMPRE, prestare molta attenzione prima di cliccare su un link o aprire l'allegato a una mail.