Phishing con malware contro gli utenti italiani
Scoperta una nuova campagna malware indirizzata al comparto manufatturiero italiano. Si basa su una email di phishing con un allegato malevolo.
Gli utenti di lingua italiana sono gli obiettivi di una nuova campagna di malware che si diffonde tramite phishing. È stata individuata dai ricercatori dello ZLab di Yoroi, che hanno tracciato tutte le caratteristiche dell'attacco, utili per sapere da che cosa ci si deve difendere.
La catena di attacco inizia con un allegato di posta elettronica dannoso che contiene una macro XML. Quando lo si apre, Excel informa della presenza di macro e chiede l'autorizzazione ad attivarle. Come sempre questa è la mossa da non fare per evitare l'attivazione del payload.
La macro è minimale. Al contrario di altre campagne più sofisticate, non beneficia di tecniche anti-rilevamento. Tuttavia non bisogna sottovalutare la minaccia. Il frammento di macro VBS contatta un dominio da cui scarica diverse powershell e il payload.
La catena di attaccoLa catena di contagio è iniziata: il malware scarica il file "fiber.vbs" con un codice accuratamente offuscato che contiene molte subroutine di manipolazione delle stringhe. Al suo interno c'è un'altra powershell progettata per analizzare l'ambiente di esecuzione e attivare la fase successiva.
Quest'ultima prevede il download del file "image01.jpg". Il malware trasforma le informazioni contenute nel suddetto file in codice powershell pronto per l'esecuzione, decomprime due librerie collegate e le prepara per essere caricate in memoria. Una è il payload finale. Si tratta di NetWire, una delle armi più popolari fra i cyber criminali. È un RAT in uso almeno dal 2012, spesso impiegato come strumento di spionaggio.
Proseguendo con la catena di attacco, quello che accade è che si attiva un meccanismo di persistenza agendo sulla directory "%APPDATA% Local Microsoft" e sul Registro di sistema. Dopo avere aggirato la scansione AntiMalware di Microsoft, il malware si nasconde per bypassare altri controlli di sicurezza.
A questo punto Netwire inizia la sua attività. Può inviare al server di Comando e Controllo le credenziali di Outlook e la cronologia dei browser Internet Explorer, Chrome e Firefox. I cyber criminali possono usare queste informazioni per perpetrare frodi o svolgere altre azioni malevole sulla rete.
Il modus operandi è analogo di quello di molte altre campagne. Il problema in questo caso è che la campagna è espressamente progettata per colpire le vittime di lingua italiana, e in particolar modo il comparto manifatturiero.
La catena di attacco inizia con un allegato di posta elettronica dannoso che contiene una macro XML. Quando lo si apre, Excel informa della presenza di macro e chiede l'autorizzazione ad attivarle. Come sempre questa è la mossa da non fare per evitare l'attivazione del payload.
La macro è minimale. Al contrario di altre campagne più sofisticate, non beneficia di tecniche anti-rilevamento. Tuttavia non bisogna sottovalutare la minaccia. Il frammento di macro VBS contatta un dominio da cui scarica diverse powershell e il payload.
La catena di attaccoLa catena di contagio è iniziata: il malware scarica il file "fiber.vbs" con un codice accuratamente offuscato che contiene molte subroutine di manipolazione delle stringhe. Al suo interno c'è un'altra powershell progettata per analizzare l'ambiente di esecuzione e attivare la fase successiva.Quest'ultima prevede il download del file "image01.jpg". Il malware trasforma le informazioni contenute nel suddetto file in codice powershell pronto per l'esecuzione, decomprime due librerie collegate e le prepara per essere caricate in memoria. Una è il payload finale. Si tratta di NetWire, una delle armi più popolari fra i cyber criminali. È un RAT in uso almeno dal 2012, spesso impiegato come strumento di spionaggio.
Proseguendo con la catena di attacco, quello che accade è che si attiva un meccanismo di persistenza agendo sulla directory "%APPDATA% Local Microsoft" e sul Registro di sistema. Dopo avere aggirato la scansione AntiMalware di Microsoft, il malware si nasconde per bypassare altri controlli di sicurezza.
A questo punto Netwire inizia la sua attività. Può inviare al server di Comando e Controllo le credenziali di Outlook e la cronologia dei browser Internet Explorer, Chrome e Firefox. I cyber criminali possono usare queste informazioni per perpetrare frodi o svolgere altre azioni malevole sulla rete. Il modus operandi è analogo di quello di molte altre campagne. Il problema in questo caso è che la campagna è espressamente progettata per colpire le vittime di lingua italiana, e in particolar modo il comparto manifatturiero.
Rimani sempre aggiornato, seguici su Google News!
Seguici
Notizie correlate
Speciali Tutti gli speciali
Calendario Tutto
Mag 07
Huawei Italy Enterprise Roadshow 2024 - Roma
Mag 08
Road to NIS2 - Padova
Mag 09
IDC Future of Digital Infrastructure Forum 2024
Mag 09
Huawei Italy Enterprise Roadshow 2024 - Caserta
Mag 14
Roadshow SMB “Exclusive On the Road” 2024 - Treviso
Mag 14
Huawei Italy Enterprise Roadshow 2024 - Aci Castello
Mag 16
Road to NIS2 - Roma
Mag 21
WithSecure - Gestione delle Vulnerabilità e Regolamentazione NIS2
Mag 22
Roadshow SMB “Exclusive On the Road” 2024 - Bologna
G11 Media Networks
SecurityOpenLab e' un canale di BitCity, testata giornalistica registrata presso il tribunale di Como ,
n. 21/2007 del
11/10/2007- Iscrizione ROC n. 15698
G11 MEDIA S.R.L.
Sede Legale Via NUOVA VALASSINA, 4 22046 MERONE (CO) - P.IVA/C.F.03062910132
Registro imprese di Como n. 03062910132 - REA n. 293834 CAPITALE SOCIALE Euro 30.000 i.v.
