Dalle prime ore di oggi abbiamo rilevato attraverso la nostra spam-trap una importante campagna di diffusione Malware Danabot. Le eMail invitano l’utente a visualizzare una fattura e ne richiedo il pagamento puntuale attraverso un link malevolo contenuto nel testo della eMail.
Come visibile nello screenshot iniziale nel corpo del messaggio è presente un link che conduce al download di un file archivio Zip denominato __faktura_XXXX.zip dove XXXX è un numero variabile. Il file compresso contiene all’interno un file Visual Basic Script (VBS) che ha il compito di scaricare ed eseguire il malware Danabot.
Qualora la vittima aprisse il file vbs lo script inizia ad effettuare chiamate costanti verso il dominio driverupdatefaxas[.]info che restituisce a sua volta un time delay di 8 secondi, dopo circa 40 richieste il dominio restituisce la seguente istruzione powershell offuscata.
Analizzando tale istruzione e deoffuscando il codice si evince che verrà scaricata un ulteriore istruzione powershell dal medesimo dominio.
Tale nuova istruzione contiene il codice sorgente del malware e le istruzioni per l’esecuzione nella macchina della vittima.
Alle 10 UTC odierne solamente 2 antivirus su 53 riconoscevano la minaccia come visibile nel seguente screenshot:
Infine riportiamo un estratto degli IOC più salienti:
- WoRI.dll: 40828c0c93d788bbc9d19a66a1292a9b5a27a4db05f5ccf04a37d9ea50c0a887
- fax.php: b83a6d6403ce637d83091718d9d6c15e3e2f07514df4f52b8fe37f88c193aa0b
- 91.185.184[.]174
- 161.117.34[.]31
- 185.92.222[.]238
- 223.176.182[.]173
- 74.162.3[.]4
- 170.238.124[.]17
- 125.111.154[.]159
- 84.93.98[.]122
- 65.63.52[.]191
- driverupdatefaxas[.]info
Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.
