SecurityOpenLab

Phishing con malware contro gli utenti italiani

Scoperta una nuova campagna malware indirizzata al comparto manufatturiero italiano. Si basa su una email di phishing con un allegato malevolo.

Gli utenti di lingua italiana sono gli obiettivi di una nuova campagna di malware che si diffonde tramite phishing. È stata individuata dai ricercatori dello ZLab di Yoroi, che hanno tracciato tutte le caratteristiche dell'attacco, utili per sapere da che cosa ci si deve difendere.

La catena di attacco inizia con un allegato di posta elettronica dannoso che contiene una macro XML. Quando lo si apre, Excel informa della presenza di macro e chiede l'autorizzazione ad attivarle. Come sempre questa è la mossa da non fare per evitare l'attivazione del payload.

La macro è minimale. Al contrario di altre campagne più sofisticate, non beneficia di tecniche anti-rilevamento. Tuttavia non bisogna sottovalutare la minaccia. Il frammento di macro VBS contatta un dominio da cui scarica diverse powershell e il payload.
new netwire chainLa catena di attaccoLa catena di contagio è iniziata: il malware scarica il file "fiber.vbs" con un codice accuratamente offuscato che contiene molte subroutine di manipolazione delle stringhe. Al suo interno c'è un'altra powershell progettata per analizzare l'ambiente di esecuzione e attivare la fase successiva.

Quest'ultima prevede il download del file "image01.jpg". Il malware trasforma le informazioni contenute nel suddetto file in codice powershell pronto per l'esecuzione, decomprime due librerie collegate e le prepara per essere caricate in memoria. Una è il payload finale. Si tratta di NetWire, una delle armi più popolari fra i cyber criminali. È un RAT in uso almeno dal 2012, spesso impiegato come strumento di spionaggio.

Proseguendo con la catena di attacco, quello che accade è che si attiva un meccanismo di persistenza agendo sulla directory "%APPDATA% Local Microsoft" e sul Registro di sistema. Dopo avere aggirato la scansione AntiMalware di Microsoft, il malware si nasconde per bypassare altri controlli di sicurezza.
richiesta attivazione macro in excelA questo punto Netwire inizia la sua attività. Può inviare al server di Comando e Controllo le credenziali di Outlook e la cronologia dei browser Internet Explorer, Chrome e Firefox. I cyber criminali possono usare queste informazioni per perpetrare frodi o svolgere altre azioni malevole sulla rete.

Il modus operandi è analogo di quello di molte altre campagne. Il problema in questo caso è che la campagna è espressamente progettata per colpire le vittime di lingua italiana, e in particolar modo il comparto manifatturiero.

Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Redazione SecurityOpenLab - 08/06/2020

Tag: cyber security malware phishing


Top trend

CoronaVirus
Ransomware
Phishing
Malware
Botnet
Vulnerabilità
Data Breach
IoT
Cyberwarfare



End of content

No more pages to load

Iscriviti alla nostra newsletter

Mantieniti aggiornato sul mondo della sicurezza

iscriviti

Redazione | Pubblicità | Contattaci | Copyright

SecurityOpenLab

SecurityOpenLab e' un canale di BitCity,
testata giornalistica registrata presso il tribunale di Como,
n. 21/2007 del 11/10/2007 - Iscrizione ROC n. 15698

G11 MEDIA S.R.L.
Sede Legale Via Nuova Valassina, 4 22046 Merone (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 Capitale Sociale Euro 30.000 i.v.

Cookie | Privacy

statistiche contatore