False comunicazioni INAIL diffondono il malware Gootkit via PEC

Il periodo nero per l’Italia, dal punto di vista della sicurezza informatica, non accenna a placarsi: l’attentissimo CERT-PA ha diramato stamani un nuovo alert (oltre a quello di cui abbiamo già parlato qui) agli utenti italiani, sopratutto utenti privati. Sono stati infatti proprio utenti privati a segnalare la diffusione di malware via email PEC tramite false comunicazioni INAIL. Da numerosi riscontri su Twitter, di singoli utenti o esperti di cyber sicurezza, si ha conferma del fatto che la campagna è ancora in corso. 
L’email vettore

Le email di questa campagna hanno come oggetto “INAIL Comunica XXXXXXXX” dove XXXXXXXX sono 8 cifre casuali: il dominio di provenienza di queste email è legalmail.it. 

 

L’email contiene due file allegati:
  • INAIL_Comunica_XXX.ppd

    è un file XML, che si presenta come (falsa) denuncia. E’ una tecnica piuttosto comune di ingegneria sociale: lo scopo è indurre nella vittima un senso di urgenza e importanza, rendendo l’utente più nervoso, meno attento e più disposto a seguire istruzioni.

 

  • INAIL_Comunica_YYY.vbs

    è uno script, il cui compito è scaricare il malware GootKit ed eseguirlo sul computer della vittima. Questo script, se eseguito, oltre a lanciare Gootkit installa anche un secondo script in formato JS che ha funge da client della botnet usata dagli attaccanti stessi. Tramite questi client i cyber attaccanti possono scaricare ed eseguire ulteriori file e lanciare altri script seguendo le indicazioni provenienti dal server di comando e controllo, locato nel dominio sad.childrensliving.com.

 

Il file VBS esclude dall’infezione, dopo verifica della lingua impostata sul sistema, i seguenti paesi:
  • Russia
  • Ucraina
  • Bielorussia
  • Cina

 

Il campione analizzato da CERT-PA dimostra un comportamento piuttosto chiaro: il server C&C fornisce una serie di indirizzi email, quindi istruisce il computer della vittima a diffondere il malware tramite un server IMAP. I ricercatori sospettano che questo server IMAP sia stato precedentemente compromesso e che sia italiano, stando ai messaggi di errore che rimanda.  Al termine dell’invio email, tutte le email inviate sono cancellate dal server.
Gootkit ha preso di mira l’Italia
Le campagne di malspam che diffondono Gootkit sono in forte aumento, così come l’uso di email PEC compromesse. Utilizzare email PEC compromesse è una mossa intelligente, ahinoi, per gli attaccanti dato che sono considerate sicure e sicuramente legittime e indubbiamente inducono l’utente che le riceve a ritenere quelle email comunicazioni ufficiali e attendibili.
Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit.
La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato. Insomma c’è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.

Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniezione di codice nel browser in uso.

Qui gli indicatori di compromissione (IoC) pubblicati dal CERT-PA –> https://www.cert-pa.it/wp-content/uploads/2019/04/IoC_inail_comunica_030419.txt