Falsa fattura Vodafone Italia veicola un malware!

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

 

**** 190 SERVIZIO CLIENTI Vodafone ****

Gentile Cliente,
provvediamo all’invio della copia conforme all’originale della fattura come da Sua richiesta.

La informiamo che non e’ possibile rispondere
direttamente a questa mail effettuando il Reply.
La invitiamo pertanto, se desidera scriverci
nuovamente, ad entrare nel sito:

http://www.vodafone.it.

Cordiali Saluti,

Servizio Clienti Vodafone

Il file Visual Basic Script se aperto dall’utente inizierà a contattare il dominio driverssoftware[.]info per scaricare dopo una attesa di oltre 10 minuti il payload che andrà a compromettere la macchina della vittima. Questa attesa è voluta per impedire un’analisi del file nelle principali SandBox gratuite che hanno tempi di analisi massimi di 5 minuti, è quindi importante analizzare il comportamento manualmente o con SandBox appropriate.
Il payload scaricato è della famiglia dei DanaBot e la campagna è decisamente similare all’invio di false fatture generiche di cui vi abbiamo parlato recentemente in questo articolo.
Concludiamo infine lasciandovi alcuni salienti IOC:
  • 193.222.135[.]148
  • 213.182.238[.]21
  • 193.222.135[.]142
  • 193.222.135[.]158
  • 193.222.135[.]145
  • 193.222.135[.]175
  • 193.222.135[.]140
  • driverssoftware[.]info
  • pingservhost[.]info
  • FAKTURA-F_4034890.vbs: f677febc3882d0094127892c187c3a12c676336777c18915dc1fd26c80690dfe