Il Security Team di Yarix segnala una campagna di malspam volta a diffondere un impianto malware in grado di rimanere silente all’interno delle macchine colpite.
A partire dalla giornata di venerdì 19 gennaio è stata registrata una nuova campagna di malspam, rivolta prettamente a destinatari italiani.
Si tratta di comunicazioni fraudolente, apparentemente inviate dal Ministero dell’Economia e delle Finanze, aventi ad oggetto Codici Tributo Acconti oppure F24 ACCONTI-Codice Tributo 4034, tali da ingannare facilmente l’utente. Non si esclude tuttavia che nelle prossime ore la campagna possa essere estesa a ulteriori tematizzazioni relative all’ambito italiano.
Le email in questione contengono un link in grado di eludere la maggior parte dei sistemi antispam. Il link infatti ha solamente il compito di eseguire un redirect verso il sito malevolo, dal quale viene poi scaricato l’eseguibile malevolo.
Il path seguito dall’attacco è il seguente:
- Invio di email fraudolenta con link a un sito di redirect con buona reputazione, al fine di eludere i controlli antispam
- Redirect a un sito malevolo sul quale viene eseguito un javascript
- Download di un eseguibile malevolo, che agisce in modalità silente
- Download dal server di comando e controllo del malware ed esecuzione
Di seguito vengono riportati gli indicatori di compromissione finora rilevati:
- Malspam
- Oggetto “Codici Tributo Acconti” , “F24 ACCONTI-Codice Tributo 4034”
- Mittente “Ministero dell’Economia e delle Finanze” , molteplici indirizzi fittizi (e.g. info@amber-kate.com info@fallriverproductions.com)
- Dropurl (https, url /themes5.php e /images4.php)
- 239outdoors [ .com
- scottishwindowsolutions ] .com
- cloudblueprintprogram [.com
- bentlabel [ .com
- topsantorinitours [ .com
- expungementstennessee [ .com
- grkisland [ .com
- microtiasurgery [ .com
- niarhoslondon [ .com
- wall-runners [ .com
- conticellolaw [ .com
- progunjobs [ .com
- zefeed [ .com
- muiienweg [ .com
- home-sphere [ .com
- couplesdoingbusiness [ .com
- snotterkind [ .com
- thegildedwren [ .com
- equinnex [ .com
- ericandchrissy [ .com
- jdkanyuk [ .com
- flaveme [ .com
- z1logistics [ .com
- strangerthanchristmas [ .com
- silkygames [ .com
- synchronr [ .com
- rocketpak [ .com
- evelynleekley [ .com
- kineloveclips [ .com
- healingfoodconsulting [ .com
- thejourneytogodsheart [ .com
- cnchalftone [ .com
- dvoper [ .com
- cdvdautomator [ .com
- comedyyall [ .com
- hertzsynergy [ .com
- kylesinger [ .com
- menshoesonlinestore [ .com
- vovachka [ .com
- zayantetinyhomes [ .com
- jdkanyuk [ .com
- https: [ //239outdoors [ .com /themes5.php
- https: [ //cloudblueprintprogram [ .com/images/documento.png?x1892
- https: [ //cloudblueprintprogram [ .com/images4.php
- 185.61. [ 152.71
- C2 (https)
- ns15.dreamsinthesun [ .com
- bdi2.nomadicdecorator [ .com
- elis.k9redemptionrescue [ .com
- api.hailstorm360 [ .com
- cerera.survivalbid [ .com
- mark.k9redemptionrescue [ .org
- nsc.dayswithsunrays [ .com
- at.moonbeammagic [ .com
- ssl.vci-cfo [ .com
- sip3.propertiesandprojects [ .com
- host1.jodiray [ .com
- note.lawrencechoy [ .com
- 185.44. [ 105.97
- Persistenza
- %TEMP%\1t.exe
- %TEMP%\1t.bin
- %TEMP%\1t.inf
- %TEMP%\<1-9cifre>.exe (es. %TEMP%\40616857.exe)
Informiano che tali indicatori sono già stati inseriti all’interno dei sistemi di monitoraggio di Yarix per i clienti SOC.
Si consiglia la massima diffusione di questa informativa all’interno dell’azienda al fine di informare gli utenti e aumentare la consapevolezza e il livello di attenzione riguardo a queste tipologie di attacco particolarmente insidiose.
Maggiori informazioni possono essere reperite al seguente link