Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index
Nuova ondata di attacchi rivolti ad Organizzazioni e utenti italiani. Le email fraudolente osservate sono dirette verso caselle di Posta Elettronica Certificata ed invitano l’utente ad aprire archivi compressi allegati all’interno dei messaggi.
Gli archivi malevoli contengono script eseguibili VBS e/o Javascript che, una volta aperti, scaricano ed installano un impianto malware della famiglia Gootkit sull’host bersaglio: la minaccia è in grado capace di intercettare le comunicazioni di rete, accedere alle smartcard inserite e trafugare digitazioni utente.
Forte legame alle campagne email tracciate dal CERT-PA a Novembre-Dicembre 2018.
Di seguito si riportano gli indicatori di compromissioni individuati durante le analisi:
- Malspam (PEC):
- Allegati:
- PE080119-0001692_Nuovi_contratti_2019__237366.zip
- PE080119-0001692__2019_20180120-Eseguito_pagamento_Bollettino_Postale_0000_1107555.js
- (o similari)
- Allegati:
- Dropurl:
- img[.martatovaglieri[.com
- hxxp:// img.martatovaglieri[.com/index?36098
- Decoy:
- hxxp:// www.flpscuolafoggia[.it/wp-content/uploads/2018/12/auguri-di-capodanno-2019.jpg?52704
- C2 (gootkit):
- 109.230.199[.169
- ws.cmgsystems[.it
- it.sunballast[.de
- gtdspr[.space
- Hash:
- 0d6464d679595677ee4d7efdcf231dcd40c3ff7d55a6b1913d7768a89d683f83 zip
- 76fb33b3048cc62f8b94ff4cca3ae12eefd7f4e59696663b9a2b1d416abe03f8 js
- e48a73ac9e661209360a2a7ac8df89b31cd43767d5167ef9ae795bc8d89a318f js
- 0b157c722327322ee21e1e4c4f5800ce3e65e24392c557d378d6ccb3f2d8cab1exe