Articoli

A partire da lunedì 12 Aprile 2021, nell’ambito del servizio IoC Zone, D3Lab ha registrato in Italia una campagna massiva di tipo smishing rivolta ad utenti Android che, tramite l’invio di messaggi SMS malevoli è finalizzata a rilasciare il malware Flubot.

Il Malware (APK) Flubot sta circolando in quasi tutti i continenti: dall’Europa fino ai paesi asiatici ad esclusione dei paesi dell’ex-Urss, come riportato in una analisi del Cert-Agid che per primo ha diramato la notizia in Italia al fine di sensibilizzare le potenziali vittime.

Continua a leggere

Il Phishing ai danni di utenti italiani è notevolmente aumentato dal 2019 ad oggi con un cambiamento di rotta significato nelle informazioni richieste alle vittime e dalle tecniche sfruttate dai criminali per divulgare e frodare le vittime. Per diversi anni l’interesse dei criminali era focalizzato principalmente sulle carte di credito e in minoranza sui dati di login per accedere al home banking; dal 2019 la situazione progressivamente è mutata fino ad oggi dove la stragrande maggioranza delle campagne verte dell’acquisire username e password di accesso al conto corrente online delle vittime.

Campagne di Phishing Italiane

Campagne di Phishing Italiane

L’interesse verso i conti correnti è avvenuto conseguentemente l’introduzione di metodi di pagamento istantanei raramente annullabili, come i bonifici bancari istantanei o pagamenti di bollettini postali, che garantiscono ai criminali un rapido ed efficace metodo di movimentare i soldi sottratti alle vittime. I nuovi sistemi anti-frode e l’introduzione della normativa PSD2 hanno reso più sicuri i conti correnti di tutti i correntisti Europei, i criminali sono stati quindi stimolati a progettare nuove tecniche di phishing più sofisticate che non comprendono più il solo invio di una e-mail ma anche chiamate telefoniche, installazioni di applicazioni sugli smartphone delle vittima e altre tecniche che vedremo in futuro in un articolo dedicato.

Ad oggi quindi al tradizionale sito di phishing viene comunemente affiancata una operazione di Vishing (chiamata da parte di un falso operatore bancario) e l’utilizzo di pannelli di controllo dedicati ai criminali per monitorare l’avanzamento della frode e richiedere in tempo reale alla vittime delle informazioni utili per eseguire operazioni illecite sul conto corrente della vittima.

Continua a leggere

Una nuova campagna di Phishing ai danni degli utenti INPS, similare alla precedente del 6 Aprile 2020, è stata rilevata nelle scorse ore dal nostro centro di ricerca e analisi delle campagne di Phishing.

L’attività fraudolenta viene svolta attraverso un dominio web creato Ad Hoc con similitudini, nel nome, a quello ufficiale dell’istituto nazionale della previdenza sociale con l’intento di far scaricare un malware agli utenti interessati a ricevere l’indennità Covid-19 stanziata dallo stato Italiano.

Continua a leggere

D3Lab nella quotidiana azione di analisi e contrasto al Phishing e Malspam ha rilevato nella notte odierna la diffusione di un malware Android della famiglia Banker Anubis mediante falsa fattura di Enel Energia.

L’utente è invitato a visitare un sito web per scaricare la fattura insoluta, nella realtà la fattura è una applicazione in formato APK per il sistema operativo Android.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Continua a leggere

D3Lab nella azione costante di monitorare nuove attività di Phishing ai danni degli utenti Italiani ha rilevato in data odierna la diffusione del malware Anubis per smartphone Android mediante una falsa promozione dell’operatore telefonico TIM.

L’utente è invitato a visitare un sito web creato Ad Hoc per attivare una offerta che gli garantisce 10Gb di traffico internet gratuito, per attivarla è necessario scaricare un applicazione Android in formato APK.

L’applicazione in realtà nasconde il malware Anubis, un trojan che include un ampia varietà di funzionalità. Anubis è in grado di acquisire screenshot dello smartphone, registrare audio, inviare, ricevere ed eliminare messaggi, acquisire la rubrica telefonica, acquisire le credenziali salvate nel browser ed aprire url.

Inoltre, il Trojan è in grado di alterare le impostazioni più profonde del dispositivo compromesso abilitando o manomettendo le impostazioni di amministrazione del dispositivo, per visualizzare le attività in esecuzione e creare una backdoor per il controllo remoto attraverso il virtual network computing (VNC).

Invitiamo pertanto gli utenti a visitare il sito ufficiale di TIM per conoscere nuove offerte e non consultare link ricevuti via SMS.

 

IoC (Indicatori di Compromissione):

 

 

 

Italian version here.

In last days D3Lab identified a malspam campaign which simulate a communication about invoices and payments to spread malware with the aim to steal sensitive data from Ms Windows devices.

The malware is downloaded, from a probably compromised domain, and executed by a Microsoft Exel macro attached to the mail, clearly these actions require a users interaction.

The malware uses SMTP protocol to send stolen credentials towards command and control servers identified by domain names made ad-hoc for this malspam campaign. This escamotage allows to escape superficial network traffic control using believable domain names capable to deceive network controller operators, letting the malware talking with C&C servers.

Since Aprile the 1st we identified eleven malware versions . The difference is in the SMTP server used to send stolen credentials and we suppose each file has been made to hit different countries.

Continua a leggere

English version here

Questa settimana si sta svolgendo una campagna di malspam mediante falsa comunicazione di avvenuto pagamento di una fattura, il malware viene veicolato attraverso un file Microsoft Excel contenete una macro malevola che ha il compito di scaricare ed eseguire il binario malevolo.

Le credenziali carpite vengono inviate mediante il protocollo SMTP ed inoltre vengono sfruttati dominii creati Ad Hoc per le comunicazioni.

Questa tecnica permette di eludere superficiali controlli del traffico di rete, un operatore potrebbe non distinguere alcuna differenza tra il dominio ufficiale di un ente e quello creato Ad Hoc così da non bloccare il traffico in uscita generato dal malware.

Dal primo aprile ad oggi abbiamo identificato undici varianti del malware, si differenziano tra loro per il server SMTP sfruttato per l’invio delle informazioni sensibili carpite alla vittima e probabilmente ogni file ha un target nazionale prestabilito dai criminali.

Continua a leggere

Durante il week-end appena trascorso abbiamo rilevato un importante campagna di diffusione malware che sfrutta come vettore di attacco una falsa comunicazione di Vodafone Italia. La comunicazione trasmette all’utente una copia conforme della fattura da lui richiesta.

L’eMail inviata che potete vedere nello screenshot di apertura e testualmente di seguito è correttamente scritta in Italiano e probabilmente copiata da una legittima comunicazione di Vodafone, ma in questo caso è presente un allegato compresso (in formato rar) che contiene un file Visual Basic Script.

Continua a leggere

Oggi 12 Febbraio 2019 attraverso la nostra Spam Trap abbiamo rilevato quattro importanti campagne di diffusione Malware che mediante le eMail veicolano la minaccia utilizzando quattro sostanziali motivazioni:

  1. Avviso di una spedizione del corriere DHL;
  2. Mappa aggiornata delle uscite di emergenza;
  3. Fattura sospesa;
  4. Invio della fattura.

Le quattro campagne non hanno in apparenza alcun collegamento tra loro, si ipotizza pertanto che siano ad opera di team criminali differenti.

Continua a leggere

Dalle prime ore di oggi abbiamo rilevato attraverso la nostra spam-trap una importante campagna di diffusione Malware Danabot. Le eMail invitano l’utente a visualizzare una fattura e ne richiedo il pagamento puntuale attraverso un link malevolo contenuto nel testo della eMail.

Come visibile nello screenshot iniziale nel corpo del messaggio è presente un link che conduce al download di un file archivio Zip denominato __faktura_XXXX.zip dove XXXX è un numero variabile. Il file compresso contiene all’interno un file Visual Basic Script (VBS) che ha il compito di scaricare ed eseguire il malware Danabot.

Qualora la vittima aprisse il file vbs lo script inizia ad effettuare chiamate costanti verso il dominio driverupdatefaxas[.]info che restituisce a sua volta un time delay di 8 secondi, dopo circa 40 richieste il dominio restituisce la seguente istruzione powershell offuscata.

Analizzando tale istruzione e deoffuscando il codice si evince che verrà scaricata un ulteriore istruzione powershell dal medesimo dominio.

Tale nuova istruzione contiene il codice sorgente del malware e le istruzioni per l’esecuzione nella macchina della vittima.

Alle 10 UTC odierne solamente 2 antivirus su 53 riconoscevano la minaccia come visibile nel seguente screenshot:

 

Infine riportiamo un estratto degli IOC più salienti:

  • WoRI.dll: 40828c0c93d788bbc9d19a66a1292a9b5a27a4db05f5ccf04a37d9ea50c0a887
  • fax.php: b83a6d6403ce637d83091718d9d6c15e3e2f07514df4f52b8fe37f88c193aa0b
  • 91.185.184[.]174
  • 161.117.34[.]31
  • 185.92.222[.]238
  • 223.176.182[.]173
  • 74.162.3[.]4
  • 170.238.124[.]17
  • 125.111.154[.]159
  • 84.93.98[.]122
  • 65.63.52[.]191
  • driverupdatefaxas[.]info