mercoledì 24 gennaio 2018

Massiccia campagna di spam distribuisce trojan bancari a vittime (anche di altissimo livello) italiane


L'Italia è sotto attacco: Yoroi, gruppo di cyber sicurezza italiano, ha intercettato una campagna massiva di invio di messaggi di posta elettronica contenenti link dannosi che sembrano provenire dal Ministero dell'Economia e delle Finanze. Sotto attacco sono principalmente aziende italiane, ma anche enti pubblici, tra i quali il Ministero degli Interni e la Camera dei Deputati. 

L'email
La mail sembra provenire appunto dal Ministero dell'Economia e delle Finanze e ha, tendenzialmente, due oggetti:

- Codici Tributo Acconti
- F24 Acconti-Codice Tributo 4034

Gli attaccanti molto probabilmente sono italiani: la cosa è deducibile non solo dal fatto che l'email è
scritta in un italiano abbastanza corretto (al contrario di altri email tradotte con software di traduzione automatica), ma anche dal fatto che reca contenuti e scadenze che fanno capire che gli attaccanti conoscono piuttosto bene l'anno fiscale italiano. Il riferimento all' F24 (modello di pagamento delle imposte) e la contemporaneità della campagna con una serie di scadenze esattoriali lo rendono un attacco molto pericoloso.

Ovviamente la mail non proviene da nessun account ufficiale del Ministero dell'Economia e delle Finanze, ma dai seguenti indirizzi:

info@amber-kate.com
info@fallriverproductions.com

La mail appare così...


Il link dannoso
Come detto l'email contiene un link e invita l'utente, con un messaggio da fonte autorevole, a fare clic. Il link punta su una serie di domini che avviano il downoload di un Javascript dal codice pesantemente offuscato. Il file js. serve a scaricare ed eseguire un secondo file chiamato 1t.exe. 

Il malware diffuso
1t.exe pare essere un classico malware bancario, pensato per rubare le credenziali di accesso ai servizi di home banking. In questo caso però il malware ha anche altre funzioni, dato che l'analisi dello stesso ha mostrato che il malware è sempre in ascolto di ulteriori comandi dal proprio server C&C: probabilmente è in grado di attivare anche altre funzioni volte al furto di altri tipi di informazioni e alla trasformazione della macchina infetta nel nodo di una botnet. 

Le vittime
I ricercatori di Yoroi sono riusciti a rintracciare i log di collegamento ai domini usati per la diffusione del malware e da lì sono potuti risalite, tramite gli indirizzi IP, alle possibili vittime. Una menzione a parte meritano Internet Provider come Telecom e FASTWEB: in questo caso infatti è assai improbabile che le migliaia di loro macchine siano infette, mentre è più probabile pensare che l'indirizzo IP riferisca solo alla loro infrastruttura, ma che le vittime reali siano clienti che usano i loro servizi. 

Qualche vittima eccellente:

  • Banca Monte Dei Paschi Di Siena S.P.A.
  • Camera dei deputati
  • Comune Di Brescia
  • Comune di Bologna
  • FASTNET SpA
  • FASTWEB SPA
  • FINECO Banca del Gruppo Unicredit
  • Fastweb
  • H3G Italy
  • Linkem spa
  • Regione Basilicata
  • Regione Toscana
  • Regione Veneto
  • Provincia di Reggio nell'Emilia
  • Telecom Italia
  • Tiscali SpA
  • Trenitalia SpA
  • Universita' degli Studi di Milano
  • Universita' degli Studi di Palermo
  • Wind Telecomunicazioni
  • Vodafone Group Services GmbH

Il rilevamento dal parte degli antivirus
Nei primi giorni di diffusione il malware passava assolutamente indenne al controllo della quasi totalità degli antivirus. Stando a Virus Total solo un antivirus considerava il file come sospetto. La maggior parte però degli AV è già corsa ai ripari aggiornando il database delle firme, quindi questa campagna dovrebbe ormai essere una lama spuntata. Ribadiamo il DOVREBBE: l'unica soluzione di sicurezza al 100% è riconoscere l'email e non fare clic sul link allegato. 

Qui è possibile rintracciare tutto il report e l'elenco delle vittime, che è stato ulteriormente aggiornato.  

Nessun commento:

Posta un commento