Italia ancora sotto attacco: documenti Excel compromessi nascondono il trojan bancario Gozi

Il Cert-PA ha reso nota una campagna di diffusione malware via email pensata appositamente per utenti italiani.  Ricalca una campagna avvenuta poco tempo fa, sempre contro utenti italiani (ne abbiamo reso nota qui), che utilizza tecniche di steganografia per evitare l’individuazione da parte dei sistemi di sicurezza perimetrali.
Il testo dell’email vettore, in italiano, è visibile sotto:
Nella routine Woorkbook_Open si nota un apice: l’apice è la conversione in CP1252 del numero 39, il codice paese dell’Italia. Questa versione del dropper VBA, quindi, avvia le proprie funzioni dannose solo contro utenti italiani. Se il controllo sulla nazionalità della vittima passa, il dropper avvia l’esecuzione di una serie di payload (ben 5, uno per ogni stadio più il payload finale). Tutti questi stadi, ben 6, servono fondamentalmente ad eludere i controlli degli antivirus. 
I payload sono altamente offuscati: al 5° stadio dell’infezione si ottiene il seguente payload (il Cert-PA lo presenta in forma deoffuscata).
Viene quindi scaricato il prossimo stadio di infezione, contenuto stenografato all’interno di questa immagine:
Il payload che viene scaricato dallo script steganografato nell’immagine è il payload finale, scaricato dall’URL che si vede in immagine
L’URL è già conosciuto alla comunità italiana e, al momento dell’analisi (19/03/2019), il malware era già stato rimosso.
Il malware Gozi
Il malware diffuso con questa campagna non è affato nuovo: rinominato Gozi, è un trojan bancario che colpisce le operazioni di banking online. Quando il sistema è infetto, Gozi cerca di intromettersi nell’operazione di banking online che l’utente sta eseguendo per effettuare un bonifico verso un conto terzo senza che l’utente del browser infetto se ne possa accorgere.
La maggior parte degli antivirus più diffusi individua comunque sia il malware che il dropper VBA.