Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuova campagna malware colpisce istituti finanziari in Italia

phishing  trojan   sabato, 17 giugno 2017

I ricercatori della società Yoroi hanno individuato una pericolosa campagna di diffusione di malware in corso ai danni di organizzazioni italiane in ambito finanziario.

Gli attacchi sono caratterizzati dall’invio di ondate di Email di phishing in lingua italiana aventi come oggetto, ad esempio, “info su bonifico”, “conferma di pagamento” oppure “Richiesta di pagamento con carta di credito”. L’infezione avviene secondo uno schema a più stadi.

Alle Email è allegato uno script JavaScript malevolo che rappresenta il primo stadio di infezione con funzione di downloader. Lo script scarica da un server remoto compromesso dagli attaccanti un eseguibile Windows e lo lancia sulla macchina. Questo secondo stadio di infezione implementa tecniche di evasione per evitare di essere rilevato dai sistemi antivirus ed essere eseguito in una sandbox.

L’eseguibile a sua volta decifra e genera dinamicamente un altro eseguibile che costituisce il terzo stadio di infezione. Questo stadio contiene tre moduli principali che consentono al malware di determinare se viene eseguito in un ambiente controllato, disattivare svariate funzioni di Windows (tra cui Gestione Attività e il prompt dei comandi), decifrare payload aggiuntivi che vengono iniettati e nascosti all’interno di vari processi di sistema (quarto stadio).

La minaccia individuata ha la capacità di installarsi in maniera persistente sul sistema e di attivarsi al riavvio della macchina compromessa. Le analisi condotte dai ricercatori sui campioni individuati hanno permesso di identificare funzionalità in grado di trafugare contatti, credenziali di account e cookie presenti nei client di posta e nei browser installati sul PC della vittima.

Per un’analisi dettagliata di questo malware, compresi svariati indicatori di compromissione (IoC), è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Il trojan per Android “kskas” scaricato automaticamente da annunci malevoli

9 giugno 2017

I ricercatori di sicurezza di Zscaler hanno individuato un nuovo trojan per Android che viene scaricato automaticamente attraverso annunci pubblicitari malevoli.Leggi tutto

Scoperte più di 50 app su Google Play contenenti il trojan per Android Judy

30 maggio 2017

I ricercatori di sicurezza di Check Point hanno scoperto una nuova famiglia di trojan per Android, denominata Judy, nascosta all'interno di più di 50 app presenti su Google Play.Leggi tutto

Nuova campagna di spam distribuisce il ransomware Jaff

12 maggio 2017

In questi giorni sono state rilevate pericolose campagne di Email fraudolente dirette a varie organizzazioni italiane con l’obiettivo di propagare il ransomware Jaff.Leggi tutto