Ministero dello Sviluppo Economico

CERT Nazionale Italia - Computer Emergency Response Team

Malware

Nuova campagna malware colpisce istituti finanziari in Italia

phishing  trojan   sabato, 17 giugno 2017

I ricercatori della società Yoroi hanno individuato una pericolosa campagna di diffusione di malware in corso ai danni di organizzazioni italiane in ambito finanziario.

Gli attacchi sono caratterizzati dall’invio di ondate di Email di phishing in lingua italiana aventi come oggetto, ad esempio, “info su bonifico”, “conferma di pagamento” oppure “Richiesta di pagamento con carta di credito”. L’infezione avviene secondo uno schema a più stadi.

Alle Email è allegato uno script JavaScript malevolo che rappresenta il primo stadio di infezione con funzione di downloader. Lo script scarica da un server remoto compromesso dagli attaccanti un eseguibile Windows e lo lancia sulla macchina. Questo secondo stadio di infezione implementa tecniche di evasione per evitare di essere rilevato dai sistemi antivirus ed essere eseguito in una sandbox.

L’eseguibile a sua volta decifra e genera dinamicamente un altro eseguibile che costituisce il terzo stadio di infezione. Questo stadio contiene tre moduli principali che consentono al malware di determinare se viene eseguito in un ambiente controllato, disattivare svariate funzioni di Windows (tra cui Gestione Attività e il prompt dei comandi), decifrare payload aggiuntivi che vengono iniettati e nascosti all’interno di vari processi di sistema (quarto stadio).

La minaccia individuata ha la capacità di installarsi in maniera persistente sul sistema e di attivarsi al riavvio della macchina compromessa. Le analisi condotte dai ricercatori sui campioni individuati hanno permesso di identificare funzionalità in grado di trafugare contatti, credenziali di account e cookie presenti nei client di posta e nei browser installati sul PC della vittima.

Per un’analisi dettagliata di questo malware, compresi svariati indicatori di compromissione (IoC), è possibile consultare il seguente articolo (in Inglese):

Notizie correlate

Scoperta nuova versione del trojan bancario TrickBot con capacità di worm

4 agosto 2017

È stata individuata una nuova versione di TrickBot che incorpora un modulo che gli consente di diffondersi lateralmente sulle reti locali con la modalità di un worm.Leggi tutto

Scoperta nuova variante del trojan bancario per Android Svpeng

2 agosto 2017

I ricercatori di Kaspersky Lab hanno individuato una variante del trojan bancario Svpeng che sfrutta i servizi per l'accessibilità Android per intercettare il testo inserito dall'utente.Leggi tutto

Nuove campagne di diffusione dei malware NemucodAES e Kovter

17 luglio 2017

Sono state individuate nelle scorse settimane nuove campagne di Email di spam che distribuiscono il ransomware NemucodAES e il trojan Kovter.Leggi tutto