Menu
Home  /  Malware  /  Identificato un nuovo malware dietro le false email dell’Agenzia delle Entrate

Identificato un nuovo malware dietro le false email dell’Agenzia delle Entrate

Secondo quanto riportato dalla Polizia Postale e delle Comunicazioni è in atto una campagna per la diffusione di un pericoloso malware, attuata mediante l’invio di false email che simulano comunicazioni da parte dell’Agenzia delle Entrate.

Il virus – variante evolutiva del noto malware Zeus – si diffonde con l’apertura di un falso modello F24 allegato all’email sfruttando le macro di Excel. Quando si installa sul sistema della vittima, esso mira a carpire preziosi dati personali come le credenziali di accesso a servizi bancari e le password di caselle di posta elettronica, anche certificata.

Da un punto di vista tecnico il malware agisce consentendo ai malfattori di assumere “a distanza”, e all’insaputa della vittima, il controllo della macchina infettata dalla quale i dati vengono carpiti e successivamente trasmessi, e che viene a sua volta utilizzata per infettare altri dispositivi.

Le attività di analisi informatica condotte dalla polizia, sono state rese possibili da una sofisticata tecnica di “reindirizzamento” del traffico malevolo generato dai computer infetti e diretto verso i centri di controllo predisposti dagli autori del reato.

Analizzando i casi rilevati, emerge che l’email utilizzata per diffondere il malware presenta l’allegato 1883_520.xls contraddistinto dall’hash f5f5452e2d95cc58d06c3d2aa1a2b88719c6f60e6ee96cfc39317f7a99b3f18a e contenente una macro predisposta per avviare la payload di infezione.

Figura 1 – Il codice della macro infetta

Dall’analisi del codice risulta che la macro sia stata programmata per scaricare un eseguibile da https://blog.futuretime.eu//elengia[.]stream/modello che viene successivamente eseguito attraverso uno script in Powershell.

Il file scaricato presenta l’hash c2f71253ec125dce0b72c3bc77ce972adb5dfec91ef00ee234c5a82116648d4b e risulta essere una variante dello Smokeloader.

Dopo essere stato eseguito sul sistema, lo Smokeloader aggiunge una voce alla seguente chiave di Registro HKEY_USERS\Software\Microsoft\CurrentVersion\Policies\Explorer\Run per assicurarsi di essere eseguito a ogni avvio di Windows, successivamente si collega al seguente indirizzo:

http://jitrenka[.]wz[.]cz/ves.exe

da cui scarica ed esegue il vero e proprio Pandabanker che, in maniera analoga allo Smokeloader, si garantirà la possibilità di essere eseguito a ogni avvio di Windows inserendo una nuova voce nella chiave di Registro HKEY_USERS\Software\Microsoft\CurrentVersion\Policies\Explorer\Run, per poi creare una copia di sé stesso nel seguente percorso:

%appdata%\Adobe\Acrobat\plugin.exe

Infine, una volta in esecuzione il malware inietterà il proprio codice nel processo legittimo svchost.exe così da continuare la propria attività malevola ingannando i sistemi antivirus installati sul PC infettato.

La minaccia a questo punto si attiverà ogni volta che l’utente cerca di accedere agli indirizzi riportati nella seguente immagine, per sottrarre le credenziali che verranno immesse:

Figura2 – Indirizzi controllati dal malware

Per difendersi da questo tipo di minaccia gli esperti di ESET Italia consigliano di rispettare le regole generali per la sicurezza dei sistemi e aggiungono i seguenti suggerimenti:

  1. Se il client email o server di posta permettono il blocco degli allegati a seconda delle estensioni, bloccare le email inviate con allegati .EXE, *.BAT, *.CMD, *.SCR e *.JS.
  2. Assicurarsi che il sistema operativo sul proprio PC mostri tutte le estensioni dei file. Ciò aiuta a identificare la natura esatta dei file nel caso in cui abbia una doppia estensione di cui una nascosta (es. “INVOICE.PDF.EXE” non verrà mostrato come “INVOICE.PDF”).
  3. Se spesso e legittimamente si ricevono file di questo tipo, verificare chi sia il mittente e in caso ci sia qualcosa di sospetto, controllare il messaggio e i suoi allegati con una soluzione di sicurezza efficace.

Indicatori di una possibile infezione

Allegati XLS:
f5f5452e2d95cc58d06c3d2aa1a2b88719c6f60e6ee96cfc39317f7a99b3f18a
757dc8ecfd21f5ce3ac4cac8a22bcb47c12ce4a3c28cff81446f641e0e251e0e
83d75884a5345356d40863a6f4032c35bc204b5a3a23bd3346a10a828e63ec94
0425ce211ef4f75aaa1b6b3a7a3d3eefa12fa71c79e7982f16c783bd7bd443a1
9f1c8073a366ec2debaf8c2baabc8348fed013d541b66b8fdbe3a428541f1770
0c53de8bf9f82f8e83e8588491769a6f0ff37b67c618e921e8c7ef98461abad5
fe8e15993bbbe2c13ec9d8e2ea71f2c8f22b35ad6d9bedd462b347f9fba1eb20
da7b4b3c59fd28a32dbc1e281771357b933a4ad926ef317e204a3b737d8a7005

Payload:
c2f71253ec125dce0b72c3bc77ce972adb5dfec91ef00ee234c5a82116648d4b (SmokeLoader)
039abb3bacbf5d337fc6a7e0f511135abf9b814ea6b46ec189f2082eb263fb4f (PandaBanker)

Domini, URL ed IPv4:

  • elenrgia[.]stream|107.174.24[.]198
  • alitalio[.]review|107.174.206[.]89
  • jitrenka.wz[.]cz|185.64.219[.]6
  • https://blog.futuretime.eu//elenrgia[.]stream/modello
  • saberstat[.]top
  • F274AFF0B798[.]date
  • 6E0F8DFF3547[.]loan
  • 923F0F7ADA98[.]date
  • http://jitrenka[.]wz[.]cz/ves.exe

Articoli Simili

1 Commento

  1. Studio Benevento Rispondi
    Agosto 31, 2018 at 11:28 am

    Con questi virus non stiamo mai tranquilli. E’ tutto un equilibrio fragilissimo. Grazie comunque, molto utile

Lascia un commento

© 2001 - 2020 - Tutti i diritti riservati. I marchi usati nel sito sono registrati da Future Time S.r.l. Tutti gli altri nomi e marchi sono registrati dalle rispettive aziende. Future Time S.r.l. © 2001-2020. P.IVA 06677001007