Nuovo allarme troian. Facendo leva su fantomatiche discordanze relative al versamento dei contributi previdenziali, i criminali invitano, attraverso una falsa email dell'INPS, le proprie vittime a scaricare un allegato XLS proponendolo come un bollettino INPS precompilato per richiedere il rimborso.
undefined 300w, undefined 768w, undefined 1422w" alt="" class="wp-image-413" style="box-sizing: inherit; border-style: none; max-width: 100%; height: auto; margin-top: 1rem; margin-bottom: 1rem; font-size: 2rem !important; letter-spacing: 0.007em !important; line-height: 1.2 !important;" />

Struttura dell'allegato XLS con invito a selezionare il link malevolo:

undefined 300w, undefined 768w" alt="" class="wp-image-414" style="box-sizing: inherit; border-style: none; max-width: 100%; height: auto; margin-top: 1rem; margin-bottom: 1rem; font-size: 2rem !important; letter-spacing: 0.007em !important; line-height: 1.2 !important;" />

Il file XLS contiene una macro Excel4, con valori di formule e di costanti in chiaro, il cui scopo è quello di scaricare e registrare una DLL acquisita da un repository remoto.

undefined 300w" alt="" class="wp-image-415" style="box-sizing: inherit; border-style: none; max-width: 100%; height: auto; margin-top: 1rem; margin-bottom: 1rem; font-size: 2rem !important; letter-spacing: 0.007em !important; line-height: 1.2 !important;" />

Una volta registrata la DLL ha inizio la catena di infezione Gozi/Ursnif che prova a dialogare con una lunga lista di C2.

Osservazioni

  • Il template di questa mail è identico a quello utilizzato per la campagna precedente che veicolava il malware ursnif tramite allegato JNLP.
  • La campagna sembra essere indirizzata a strutture private, al momento non si ha evidenza della campagna in ambito PA.
  • Dei 13 C&C individuati, 12 erano già noti a partire dal mese di maggio 2020 come riportato nella tabella seguente.
C2 Campaigns First seen
gstat.sloleaks.com 11 05/2020
gstat.securezal.com 5 05/2020
gstat.securezal.xyz 4 05/2020
gstat.premiamo.eu 4 05/2020
gstat.secundamo.com 4 05/2020
gstat.secundato.net 4 05/2020
gstat.secundato.com 4 07/2020
gstat.securanto.com 3 07/2020
gstat.premiamo.com 3 07/2020
gstat.securezzis.net 3 07/2020
gstat.securanto.net 3 07/2020
gstat.securezzas.com 3 07/2020

Indicatori di Compromissione

Si riportano di seguito gli indicatori di compromissione già condivisi sulla nostra piattaforma CNTI e MISP a tutela delle strutture accreditate.

Link: Download IoC