Phishing con malware contro gli utenti italiani

Scoperta una nuova campagna malware indirizzata al comparto manufatturiero italiano. Si basa su una email di phishing con un allegato malevolo.

Business Vulnerabilità
Gli utenti di lingua italiana sono gli obiettivi di una nuova campagna di malware che si diffonde tramite phishing. È stata individuata dai ricercatori dello ZLab di Yoroi, che hanno tracciato tutte le caratteristiche dell'attacco, utili per sapere da che cosa ci si deve difendere.

La catena di attacco inizia con un allegato di posta elettronica dannoso che contiene una macro XML. Quando lo si apre, Excel informa della presenza di macro e chiede l'autorizzazione ad attivarle. Come sempre questa è la mossa da non fare per evitare l'attivazione del payload.

La macro è minimale. Al contrario di altre campagne più sofisticate, non beneficia di tecniche anti-rilevamento. Tuttavia non bisogna sottovalutare la minaccia. Il frammento di macro VBS contatta un dominio da cui scarica diverse powershell e il payload.
new netwire chainLa catena di attaccoLa catena di contagio è iniziata: il malware scarica il file "fiber.vbs" con un codice accuratamente offuscato che contiene molte subroutine di manipolazione delle stringhe. Al suo interno c'è un'altra powershell progettata per analizzare l'ambiente di esecuzione e attivare la fase successiva.

Quest'ultima prevede il download del file "image01.jpg". Il malware trasforma le informazioni contenute nel suddetto file in codice powershell pronto per l'esecuzione, decomprime due librerie collegate e le prepara per essere caricate in memoria. Una è il payload finale. Si tratta di NetWire, una delle armi più popolari fra i cyber criminali. È un RAT in uso almeno dal 2012, spesso impiegato come strumento di spionaggio.

Proseguendo con la catena di attacco, quello che accade è che si attiva un meccanismo di persistenza agendo sulla directory "%APPDATA% Local Microsoft" e sul Registro di sistema. Dopo avere aggirato la scansione AntiMalware di Microsoft, il malware si nasconde per bypassare altri controlli di sicurezza.
richiesta attivazione macro in excelA questo punto Netwire inizia la sua attività. Può inviare al server di Comando e Controllo le credenziali di Outlook e la cronologia dei browser Internet Explorer, Chrome e Firefox. I cyber criminali possono usare queste informazioni per perpetrare frodi o svolgere altre azioni malevole sulla rete.

Il modus operandi è analogo di quello di molte altre campagne. Il problema in questo caso è che la campagna è espressamente progettata per colpire le vittime di lingua italiana, e in particolar modo il comparto manifatturiero.
Se questo articolo ti è piaciuto e vuoi rimanere sempre informato con le notizie di SecurityOpenLab.it iscriviti alla nostra Newsletter gratuita.

Notizie correlate

Iscriviti alla nostra newsletter

Soluzioni B2B per il Mercato delle Imprese e per la Pubblica Amministrazione

Iscriviti alla newsletter

contatori