English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere

Blackmail emails are storming internet users since last october, when the phenomenon started and acquired space in all information media.

The biggest power of this kind of attack is to fool the receiver leading him to believe that the message came from it’s own email box, that it’s been compromised.

In the first time emails body was composed in simple text.

Continua a leggere

Yesterday we received a phishing email targeting Apple Store users.

The email, writed in english, hasked for a payment for a movie pre-order. The email body’s html was hidding a phishing url under “Review and cancel here”.

Continua a leggere

inserimento dati anagrafici

Lo scorso anno vi avevamo raccontato del phishing a danno di Carrefour Banca rilevato tra gennaio e febbraio, ieri a circa un anno di distanza i criminali tornano a colpire gli utilizzatori delle carte Carrefour.

L’analisi del caso trae spunto da un tweet di @illegalFawn ricercatore sempre attento a questa tipologia di minacce

tweet illegalFawn

Rispetto ai casi di phishing rilevato lo scorso anno la grafica risulta meno curata e il kit sfrutta il sistema delle sub directory con nomi random, create per ogni nuova visita.

Continua a leggere

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere

Google & Office 365 phishing business victims

Usualmente siamo soliti pensare al phishing come ad una minaccia che colpisce principalmente gli utenti del web nella loro posizione di clienti di un servizio, sia esso bancario, di cloud, ecc…

Ma questo è vero solo in parte, o meglio rappresenta solo uno dei possibili aspetti della vicenda, perché il phishing pur partendo da un attacco finalizzato a colpire un servizio ad uso personale, privato, può facilmente impattare sulla struttura aziendale.

Possiamo quindi esaminare due scenari.

Continua a leggere

Oggi 12 Febbraio 2019 attraverso la nostra Spam Trap abbiamo rilevato quattro importanti campagne di diffusione Malware che mediante le eMail veicolano la minaccia utilizzando quattro sostanziali motivazioni:

  1. Avviso di una spedizione del corriere DHL;
  2. Mappa aggiornata delle uscite di emergenza;
  3. Fattura sospesa;
  4. Invio della fattura.

Le quattro campagne non hanno in apparenza alcun collegamento tra loro, si ipotizza pertanto che siano ad opera di team criminali differenti.

Continua a leggere

L’attività di monitoraggio dei data leak condotta da D3Lab opera su svariate fonti al fine di rilevare il rilascio di informazioni sensibili; l’attenzione viene quindi riposta sia sugli ambienti underground e cyber criminali, sia  sugli strumenti che da questi possono essere utilizzati ed i siti di “paste” rappresentano uno di questi.

Il monitoraggio della piattaforma Pastebin ha portato dall’inizio dell’anno ad identificare la condivisione di innumerevoli pubblicazioni aventi per contenuto dati personali collegabili ad utenti principalmente italiani, senza che ad oggi sia stato individuato uno specifico target essendo i dati ricollegabili a molteplici enti senza distinzione tra settore pubblico e privato.

I Paste rilevati nelle prime settimane di Gennaio riportavano titoli del tipo “10K VERSI” o “11K IT”, distribuiti in varie versioni.

Nella tarda serata di ieri D3Lab ha rilevato la pubblicazione di un altro Paste contenente record esclusivamente italiani, come nei casi precedenti.

Il Paste dal titolo “5K” è stato pubblicato da utente “guest” e riporta la data del 10 Febbraio – ore 23:49. Il Paste risulta attualmente rimosso, ma è stato acquisito dalle piattaforme di monitoraggio in uso presso D3Lab.

La particolarità di quest’ultimo Paste risiede nell’individuazione al suo interno di una rilevante presenza di account appartenenti al dominio cri.it, che fa capo alla Croce Rossa Italiana, a cui si aggiunge un nutrito numero di account sempre relativi alla CRI, ma attestati su domini non ufficiali, facenti capo ad enti locali.

Il Paste contiene un elenco composto da 5000+ account email e relative password in chiaro. La lista degli account presenti nel Paste riporta la seguente struttura: email|password

Top 10 domini coinvolti

Come si evince dal grafico, il dominio principalmente coinvolto è “cri.it” con 1658 record, seguito da numerosi domini email utilizzati in Italia.

Domini collegati a cri.it

Dalle analisi del contenuto risultano coinvolti 75 domini collegati alla Croce Rossa Italina suddivisi per sezioni (province  e regioni) per un totale di 1813 account della CRI. Di seguito il grafico dei principali domini CRI presenti nel Paste ad eccezione del dominio principale “cri.it”.

Conclusioni

Appare piuttosto palese che i dati pubblicati hanno come target l’Italia, sono infatti 4276 gli account email con dominio .it. Inoltre, in data odierna il contenuto del Paste è stato aggiunto al database della nota piattaforma HaveIBeenPwned e probabilmente molte altre entità operanti sul web sono in possesso dei dati personali in esso riportati.

Poichè un aggressore motivato potrebbe facilmente entrare in possesso di tali dati, si consiglia di ricercare il proprio account all’interno della piattaforma HIBP ed eventualmente provvedere all’immediata modifica della password, soprattutto qualora le medesime credenziali vengano utilizzate per l’accesso ad altri servizi.

Nel pomeriggio odierno si è provveduto a inoltrare la segnalazione a CRI, nonostante le difficoltà di individuare l’ufficio/contatto preposto alla gestione delle minaccia in esame.

Dalle prime ore di oggi abbiamo rilevato attraverso la nostra spam-trap una importante campagna di diffusione Malware Danabot. Le eMail invitano l’utente a visualizzare una fattura e ne richiedo il pagamento puntuale attraverso un link malevolo contenuto nel testo della eMail.

Come visibile nello screenshot iniziale nel corpo del messaggio è presente un link che conduce al download di un file archivio Zip denominato __faktura_XXXX.zip dove XXXX è un numero variabile. Il file compresso contiene all’interno un file Visual Basic Script (VBS) che ha il compito di scaricare ed eseguire il malware Danabot.

Qualora la vittima aprisse il file vbs lo script inizia ad effettuare chiamate costanti verso il dominio driverupdatefaxas[.]info che restituisce a sua volta un time delay di 8 secondi, dopo circa 40 richieste il dominio restituisce la seguente istruzione powershell offuscata.

Analizzando tale istruzione e deoffuscando il codice si evince che verrà scaricata un ulteriore istruzione powershell dal medesimo dominio.

Tale nuova istruzione contiene il codice sorgente del malware e le istruzioni per l’esecuzione nella macchina della vittima.

Alle 10 UTC odierne solamente 2 antivirus su 53 riconoscevano la minaccia come visibile nel seguente screenshot:

 

Infine riportiamo un estratto degli IOC più salienti:

  • WoRI.dll: 40828c0c93d788bbc9d19a66a1292a9b5a27a4db05f5ccf04a37d9ea50c0a887
  • fax.php: b83a6d6403ce637d83091718d9d6c15e3e2f07514df4f52b8fe37f88c193aa0b
  • 91.185.184[.]174
  • 161.117.34[.]31
  • 185.92.222[.]238
  • 223.176.182[.]173
  • 74.162.3[.]4
  • 170.238.124[.]17
  • 125.111.154[.]159
  • 84.93.98[.]122
  • 65.63.52[.]191
  • driverupdatefaxas[.]info

Nel corso delle attività di contrasto e monitoraggio del phishing, D3Lab ha avuto modo di individuare ed analizzare i rilevi emersi da campagne malspam in circolazione in Italia volte a veicolare malware attraverso l’utilizzo di account email legittimi precedentemente carpiti.

La particolarità della campagna consiste nel controllo preventivo inerente il sistema da compromettere e nelle caratteristiche del file dropper, scaricabile tramite link alla mail, che  una volta scompattato assume dimensioni tali da non consentire la sottomissione del sample sulle sandbox online di malware analysis.

Dettagli tecnici

Le email analizzate fanno riferimento a rapporti commerciali precedentemente intercorsi tra le parti. Nello specifico, l’oggetto viene ripreso da conversazioni già intercorse e presenti nella casella di posta ed il contenuto sembra essere il prosieguo di una discussione già intrattenuta tra le parti come una risposta ad una conversazione precedente.

Nel corpo della mail, utilizzando un italiano non del tutto corretto, si invita la vittima a seguire un link al fine di visionare il documento o la fattura/ricevuta.

La mail si conclude con firma originale in calce e riferimenti reali alla società di appartenenza dell’account mittente. Di seguito uno screenshot esplicativo.

Analisi comportamentale

Seguendo il link indicato nella mail, si viene indirizzati alle seguenti URL:

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881

Le Url indicate effettuano un controllo preventivo lato server in merito al sistema operativo che fa richiesta. Solo nel caso in cui la pagina venga visionata da un browser con User-Agent “Internet Explorer” verrà proposto in download un archivio .ZIP da 536 KB denominato:

  • 2018 DICEMBRE DOCUMENTI.zip

Il file archivio contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati:

  • 04 DICEMBRE 2018.vbs
  • dbpreview.dat

Mentre il file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper e cambia nome di frequente.

Il file VBS una volta estratto dall’archivio aumenta notevolmente la dimensione sino a 451,9 MB. Si presume che tale tecnica sia stata utilizzata al fine di non permettere l’upload del file stesso su nessuna delle piattaforme che effettuano analisi del malware. Il codice reale (offuscato), una volta estratto, è composto da poche righe, come visibile dallo screenshot sottostante:

Al fine di rendere il file di grandi dimensioni sono state inserite all’interno del codice numerose righe vuote che grazie all’algoritmo di compressione non hanno dimensione, ma tornano ad essere “presenti” una volta scompattato dal file ZIP.

 

Il codice decodificato assume la seguente struttura:

 

Leggendo la sintassi del codice si evince chiaramente che il file VBS ha il compito di collegarsi alla url http://pixelors[.]com/ShareImage.php dalla quale effettua il download di un file “opr.exe” salvandolo nella cartella “%TEMP%” di sistema.

Il sample opr.exe risulta essere un campione appartenente la famiglia Gootkit il cui scopo è quello di intercettare il traffico, raccogliere informazioni, soprattutto bancarie, ed infine comunicare sulla porta 443 con il server di C&C che nel caso in oggetto risulta essere “antoniojguerrero[.]com” risolvibile con indirizzo IP 185[.]248[.]160[.]132.

In fase di esecuzione il malware effettua una serie di controlli per sfuggire alle sandbox e agli strumenti di debug. In tal caso termina l’esecuzione senza effettuare alcuna attività.
Di seguito un’immagine dimostrativa che evidenzia la funzione IsDebuggerPresent() invocata 49 volte e utilizzata per rilevare la presenza di debug attivo in fase di esecuzione.

Una volta accertata l’affidabilità dell’ambiente in cui viene eseguito, il malware si esegue in un nuovo thread, a quel punto modifica le policy dal registro di sistema assegnando il valore REG_DWORD 2500 con impostazione 3 in modo da disabilitare la modalità protetta della Internet Zone.

Di seguito le chiavi modificate:

In fine inizia le attività di monitornig e di comunicazione con il C&C.

Indicatori di Compromissione

Di seguito riportiamo gli indicatori di compromissione.

IP:

  • 149.56.5[.]78
  • 185.61.152[.]59
  • 185.248.160[.]132:443

Domini:

  • pixelors[.]com
  • antoniojguerrero[.]com

URL

  • hxxps://soccerchatng[.]com/ZoWkUQp?xCeQZfzksL=173622
  • hxxps://getbeasted[.]com/DRpUiqf?nbPqwzuEVpWQN=516881
  • hxxp://pixelors[.]com/ShareImage.php

Allegato ZIP

  • File: 2018 DICEMBRE DOCUMENTI.zip
  • Hash md5: 83932c5046afb5e90a26b030fffe23b2

VBS

  • File: 04 DICEMBRE 2018.vbs
  • Hash md5: 219e8d1cc3750f3fea37f8588e9f14af
  • File: DICEMBRE 02 2018.vbs
  • Hash md5: 609378f6228ca6bd7c908fdfd5a42fa0

DAT

  • File: dbpreview.dat
  • Hash md5: 291579f343a99b8f39b0098ad4c08e49

PE

  • File: opr.exe
  • Hash md5: 176c29ad575d897e1795d58761583890