Ransomware e WordPress Scanner tramite Phishing Banca d’Italia

Una nuova campagna di diffusione Malware rilevata il 30 Marzo 2017 sfrutta l’istituto Banca d’Italia per trarre in inganno l’utente finale mediante l’invio di una falsa notifica sull’esistenza di arretrati. L’eMail fraudolenta invita la potenziale vittima ad analizzare i propri debiti cliccando sul link riportato.

Il link in oggetto di analisi veicola l’utente su un sito Russo dal quale effettuerà il download dell’archivio notifica.zip, tale archivio al suo interno contiene il file notifica0021769.js opportunamente offuscato come possiamo visualizzare dall’immagine seguente.

Aprendo il file JavaScript il computer esegue il download del malware, denominato notifica.exe, da due possibili fonti:

http://asisa-isia[.]org/wp-content/uploads/sites/2/2017/notifica.exe

http://infinitiofkirklandleases[.]com/wp-includes/js/tinymce/plugins/paste/notifica.exe

Nei minuti successivi all’analisi da noi compiuta, il malware scaricato risultava corrotto e quindi non eseguibile su alcun dispositivo. Analizzando l’eseguibile era possibile notare blocchi di codice inopportuno che mostrano un errore di esecuzione del processo IPDATE riconducibile al software Download Accelerator Plus DAP10È probabile che il gruppo di criminali abbia scaricato il malware da una risorsa web tramite Download Accelerator e quest’ultimo a causa di un errore interno abbia corrotto l’eseguibile.

Dopo circa 20 minuti il file eseguibile è stato nuovamente caricato permettendo la corretta funzione, si è quindi rilevato essere un Ransomware.

VirusTotal ci riporta che il nuovo eseguibile viene rilevato da soli 9 antivirus su 61.

 

Analizzando successivamente il traffico eseguito dal Ransomware, abbiamo rilevato l’esecuzione di un demone Tor sulla macchina e una insolita attività di scansione di siti web basati sui CMS WordPress e Joomla.

In quasi 9 minuti di analisi il malware ha effettuato 2695 richieste HTTP come possiamo notare in alcuni seguenti screenshot.

Questo slideshow richiede JavaScript.

È quindi possibile che l’attaccante stia sfruttando le macchine infettate per scansionare la rete e identificare siti web basati sui due principali CMS. Non abbiamo invece rilevato alcuna attività di brute-forcing verso i domini scansionati per ricavarne eventuali credenziali.

Per chi volesse approfondire l’analisi rendiamo disponibile la scansione di VirusTotal e la condivisione del sample attraverso Malwr.