In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.
The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.
The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.
Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2019/04/AgentTesla_1.png?fit=1015%2C735&ssl=17351015Denis D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngDenis D3Lab2019-04-04 12:10:052019-05-09 12:05:47Agent Tesla: malware campaign using domains registered Ad Hoc [english version]
Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.
Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.
Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.
Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.
https://i1.wp.com/www.d3lab.net/wp-content/uploads/2019/04/AgentTesla_1.png?fit=1015%2C735&ssl=17351015Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2019-04-04 10:41:072019-05-09 12:05:55Agent Tesla: Campagna malware con dominii creati Ad Hoc
Virgilio Mail è la piattaforma di WebMail offerta gratuitamente da Italiaonline S.p.A. ampiamente sfruttata da diversi utenti Italiani, i primi attacchi di Phishing a loro danno li abbiamo rilevati nel 2017 come vi abbiamo mostrato lo scorso settembre. Nel primo trimestre del 2018 abbiamo rilevato un trend decisamente in crescita a conferma che Virgilio è un target apprezzato dai Phisher.
Dal 1 Gennaio 2018 ad oggi abbiamo rilevato 13 nuove segnalazioni di Phishing nove di esse sfruttano domini appositamente creati per ingannare l’utente, ovvero:
virgilio-387246834310[.]com
virgilio-387246834312[.]com
virgilio-387246834313[.]com
virgilio-387246834314[.]com
virgilio-387246834315[.]com
virgilio34985794[.]com
virgilio34985795[.]com
virgilio34985796[.]com
virgilio34985798[.]com
La rilevazione di queste segnalazioni di Phishing è stata possibile grazie all’attività di Brand Monitor che svolgiamo per monitorare la registrazioni di nuovi dominii eventualmente sfruttabili per attività illecite come il Phishing, la diffusione di Malware, lo spear phishing e le frodi attraverso vendita o acquisto di servizi e prodotti.
L’intento del Phisher nelle segnalazioni ad oggi rilevate è di carpire le credenziali della eMail dell’utente. Invitiamo pertanto gli utenti a fare massima attenzione e controllare il sito web che si visita.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/03/Phishing_VirgilioMail.png?fit=1072%2C797&ssl=17971072Andrea D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngAndrea D3Lab2018-03-28 15:01:202018-03-28 15:01:20Phishing ai danni di Virgilio tramite dominii Ad hoc
Uno dei servizi offerti da D3lab e’ quello di Brand Monitor, che effettua il monitoraggio giornaliero della registrazione di nuovi domini.
Si tratta, in molti casi, di nuovi domini con nomi molto simili a quelli dei siti legittimi con lo scopo di confondere, ad esempio, gli utenti di Home Banking per fargli credere di essere sul reale sito della banca ed mette in atto frodi.
I nomi di dominio comprendono in tutto o in parte il nome dell’ente da colpire spesso in unione ad altri termini leciti.
Oltre ai casi di banche italiane prese di mira dai phishers, e’ particolare notare il grande numero di nuovi domini ad-hoc rilevati giornalmente e che riguardano banche ma anche enti governativi francesi.
E’ probabile che una delle ragioni di questo interessamento dei phishers per la Francia sia dovuto alla grande diffusione in questa nazione di servizi internet tra cui l’Internet Banking.
Come si vede dal grafico, l’utilizzo nel 2017 di servizi Internet Banking in Francia e’ piu’ del doppio di quello italiano e di conseguenza anche il numero di potenziali utenti coinvolti in possibili attacchi di phishing risulta elevato.
In dettaglio possiamo vedere che nel mese di gennaio 2018 D3Lab ha rilevato numerosi nuovi domini ad-hoc relativi a diverse banche francesi tra cui
ma anche un grande numero di nuovi domini creati per colpire enti governativi tra cui
In ogni caso bisogna ricordare che per la maggior parte, non si tratta di phishing attivo ma di domini che se visualizzati nel browser mostrano messaggi di vario genere (dominio parcheggiato, sito in costruzione ecc….) in attesa di venire attivati in seguito dal phisher
ed anche
oppure
Nel momento in cui il clone viene poi attivato le pagine di phishing potrebbero essere inserite in directory accessibili solo attraverso il link di attacco presente nella email fraudolenta, mentre la home page del sito continuerebbe a presentarsi con il modello di default/parcheggio.
Una analisi del whois per i nuovi dom. FR rilevati, propone in buona parte nomi di registrant francesi
e spesso, un reverse whois, mostra che il registrant ha registrato piu’ di un nuovo dominio, sempre relativo a banche francesi
mentre sono utilizzati in molti casi anche i servizi di ‘privacy’ per nascondere i dati relativi al registrant.
https://i2.wp.com/www.d3lab.net/wp-content/uploads/2018/02/adhoc.png?fit=1102%2C737&ssl=17371102Edgardo D3Labhttps://www.d3lab.net/wp-content/uploads/2019/04/D3Lab_Logo_Enfold-300x102.pngEdgardo D3Lab2018-02-14 10:24:022018-02-14 10:31:30Grande numero di domini di phishing Ad Hoc ai danni di banche ed enti Francesi
Potremmo richiedere che i cookie siano attivi sul tuo dispositivo. Utilizziamo i cookie per farci sapere quando visitate i nostri siti web, come interagite con noi, per arricchire la vostra esperienza utente e per personalizzare il vostro rapporto con il nostro sito web.
Clicca sulle diverse rubriche delle categorie per saperne di più. Puoi anche modificare alcune delle tue preferenze. Tieni presente che il blocco di alcuni tipi di cookie potrebbe influire sulla tua esperienza sui nostri siti Web e sui servizi che siamo in grado di offrire.
Cookie essenziali del sito Web
Questi cookie sono strettamente necessari per fornirvi i servizi disponibili attraverso il nostro sito web e per utilizzare alcune delle sue caratteristiche.
Poiché questi cookie sono strettamente necessari per la consegna del sito web, il loro rifiuto avrà un impatto sul funzionamento del nostro sito web. È sempre possibile bloccare o cancellare i cookie modificando le impostazioni del browser e forzare il blocco di tutti i cookie su questo sito web. Ma questo vi chiederà sempre di accettare/rifiutare i cookie quando visitate il nostro sito.
Rispettiamo pienamente se si desidera rifiutare i cookie, ma per evitare di chiedervi gentilmente più e più volte di permettere di memorizzare i cookie per questo. L’utente è libero di rinunciare in qualsiasi momento o optare per altri cookie per ottenere un’esperienza migliore. Se rifiuti i cookie, rimuoveremo tutti i cookie impostati nel nostro dominio.
Vi forniamo un elenco dei cookie memorizzati sul vostro computer nel nostro dominio in modo che possiate controllare cosa abbiamo memorizzato. Per motivi di sicurezza non siamo in grado di mostrare o modificare i cookie di altri domini. Puoi controllarli nelle impostazioni di sicurezza del tuo browser.
Altri servizi esterni
Utilizziamo anche diversi servizi esterni come Google Webfonts, Google Maps e fornitori esterni di video. Poiché questi fornitori possono raccogliere dati personali come il tuo indirizzo IP, ti permettiamo di bloccarli qui. Si prega di notare che questo potrebbe ridurre notevolmente la funzionalità e l’aspetto del nostro sito. Le modifiche avranno effetto una volta ricaricata la pagina.
