Questo sito web utilizza cookie tecnici e, previo Suo consenso, cookie di profilazione, nostri e di terze parti. Chiudendo questo banner, scorrendo questa pagina o cliccando qualunque suo elemento acconsente all'uso dei cookie. Leggi la nostra Cookie Policy per esteso.OK

Fogli Excel col malware: i consigli per non cadere nella trappola

Una nuova campagna di malspam sta diffondendo un gran numero di e-mail, anche con account PEC, con allegati malevoli in formato.xls. Ecco come riconoscerle e difendersi

20 Giu 2018

Paolo Tarsitano


È in corso una nuova campagna di mail spam (definite in gergo come malspam, cioè malware diffusi mediante invio massiccio di spam) che stanno intasando in particolare le caselle di posta elettronica degli utenti italiani con allegati di posta malevoli che nascondono malware camuffati da fogli di calcolo in formato .xls. A diramare l’avviso di sicurezza è ancora una volta il CERT-PA, che sottolinea come la tecnica utilizzata dagli attaccanti in questo caso è quella di far credere alle potenziali vittime di aver già intrattenuto una qualche corrispondenza.

La particolarità dei messaggi di spam è quella di essere scritti in italiano corretto. Inoltre, gli attaccanti hanno messo su una perfetta infrastruttura network che provvede, in un primo caso ad inviare ai destinatari un’e-mail utilizzando un account PEC:

Nel secondo caso, invece, viene utilizzata una normale casella di posta elettronica, ma il contenuto dell’e-mail rimane pressoché identico:

In tutti e due i casi, i messaggi di posta elettronica vengono utilizzati per veicolare allegati infetti in formato .xls contenenti macro malevoli. La pericolosità di questo nuovo attacco è che al momento il fattore di rilevamento dei principali antivirus disponibili sul mercato è di appena 11 su 59!

L’infezione avviene appena il destinatario apre l’allegato all’e-mail ricevuta, provvedendo quindi ad attivare la macro. A questo punto, il malware avvia il download sul computer della vittima di un file PE con funzionalità di trojan ed appartenente alla famiglia Sharik.

Secondo le indagini condotte da CERT-PA, le organizzazioni maggiormente coinvolte da questa nuova campagna di malspam sono principalmente quelle legate ai settori delle telecomunicazioni, statali, delle costruzioni, quelle tecnologiche e quelle relative al settore educativo.

I consigli per contrastare il malware

Secondo Claudio Telmon di P4i e IT Risk and security advisor, membro del Comitato Direttivo e del CTS di CLusit, “la segnalazione del CERT-PA evidenzia alcuni aspetti particolarmente difficili da contrastare di queste campagne di diffusione di malware. La prima è che le e-mail sono sempre più credibili, il tema del “cattivo italiano” ormai non è più rilevante. Il secondo è che la capacità degli strumenti di base è limitata, “il fattore di rilevamento da parte degli antivirus è di 11 su 59 produttori”. Non si deve pensare che il tema sia di qualità dell’uno o dell’altro prodotto, il problema è generale. Rimangono due protezioni importanti”.

“La prima barriera – continua Telmon, è comunque l’attenzione della persona agli allegati che apre. È vero che queste mail sono credibili, ma un’azienda dovrebbe comunque essere sospettosa su di una mail che non ha riferimenti diretti né all’azienda né a suoi clienti o fornitori. Anche quando l’utente alla fine decida che sia opportuno aprire l’allegato, la seconda protezione importante è la notifica immediata all’IT, una volta rilevato che non era un’e-mail con un contenuto riconoscibile come destinato all’azienda. Data l’efficacia di questi attacchi infatti, l’attività di contenimento e bonifica è importante quanto quella di prevenzione.

Impariamo a riconoscere i messaggi di malspam

Anche in questo caso, CERT-PA fornisce gli indicatori di compromissione che aiutano gli utenti ad identificare le e-mail infette. Eccoli in dettaglio.

Malspam

Oggetto:

  • RE: FATTURE VENDITA PRIVATA
  • I: richiesta IBAN PE PAGAMENTO FATTURE

Nome allegato:

  • 201806160770422.xls
  • Fattura di Vendita 9956423.xls

IoC file

Allegati .xls

  • MD5: 199c30f63dc72228787f10f43ec3f877
  • SHA1: 23e9bd91f584cb8458614b14424b3a61331a36da
  • SHA256: 6319068304818e2dc614a44bf57a70c816cc6e330cc90dd6fc4d7f5455019741
  • Analisi Infosec: https://infosec.cert-pa.it/analyze/199c30f63dc72228787f10f43ec3f877.html

  • MD5: a8ce6ea1dfaf9b73101ee80198c22824
  • SHA1: 0c818520afe9e0f16ee48524c67887044982d6f9
  • SHA256: 98d9c5983a4fab704fe6f36c3920aa2252de0a380c995e8883d7b15820c2c602
  • Analisi Infosec: https://infosec.cert-pa.it/analyze/a8ce6ea1dfaf9b73101ee80198c22824.html

File dropper

  • MD5: 402b25b11cdbb0eda1c3bcb55e3f3e49
  • SHA1: cea0efe4a7b533bd1b7509f7f4bd053c09095df1
  • SHA256: 7544141eb65a5bb0c2e3e4909af000006f75afc70cad56107dbf5445dfa830a0
  • Analisi Infosec: https://infosec.cert-pa.it/analyze/402b25b11cdbb0eda1c3bcb55e3f3e49.html

IoC Network

  • Dropper URL: https://gearwent[.]win/listingto.gif

IoC dropper

  • 151.106.14[.]27
  • migyno[.]win

Pare inoltre che per veicolare il malware venga utilizzato in maniera persistente il dominio migyno[.]win che ha questo indicatore di compromissione associato e rilevato nell’arco temporale che va dal 4 al 19 giugno 2018:

  • IoC_migyno.win (.csv)

A fronte di ulteriori verifiche, inoltre, sono state identificate anche le impronte di hashing della macro (8267e430066c999c006932a7760ed394eebce8f67ff1c69b9817857a98cc77fd) contenuta nel file 201806160770422.xls (98d9c5983a4fab704fe6f36c3920aa2252de0a380c995e8883d7b15820c2c602), che hanno di fatto confermato la persistenza dalla campagna a danno di utenze italiane.

Di seguito gli ulteriori allegati rilevati da VirusTotal e basati su Microsoft Excel 97 – 2003:

  • SHA256: 8146a86d4a30bb8fdddc6d66366683cceb156cd57eefe611234b99ba77e5900d
  • MD5: 6b5077bcf7edf4f88a627a28ae864c1a
  • Nome file: Fattura di vendita 6809915.xls

  • SHA256: be50677e257f9443515b978f1cd58561b900806c8c2451d48253df74ec59bdce
  • MD5: bfdf02900e4f4d2b9c66fe93c6ad5a10
  • Nome file: Fattura ITALIA_06129.xls

  • SHA256: f1d4c079d79b803af8a92edf9b46c9eb94eb5256a076e935a3b09d384dfc30ba
  • MD5: 7824d117c7f83dd83464b6340984bc70
  • Nome file: 63875 fattura di vendita.xls

  • SHA256: b0d942db713ad3a2066decfc84f22d5266412486dc30e4525cdee915112ab8c7
  • MD5: e38f5e5186161d5e6f92edaff6873814
  • Nome file: Generico

  • SHA256: 2148e5f46182c31eed25c481f1d7eb657ca64e548c2c09527a89af26c59a2b5b
  • MD5: 941ee435999a36b212beedbd7ebdbe5a
  • Nome file: 46552 fattura di vendita.xls

  • SHA256: 7bd267c01789d7d5bdf701e7747e1c76fdb9e9f267a4e1e4ff46ed0d3cef4492
  • MD5: b08b04de02f5b5b581f3e99026fea8bd
  • Nome file: Fattura di Vendita 7488104.xls

Nell’articolo Trojan Gootkit, aziende e PA italiane sotto attacco: come difendersi pubblicato da CyberSecurity360 abbiamo analizzato un’altra campagna di invio massiccio di e-mail infette, a dimostrazione del fatto che non bisogna mai abbassare la guardia e gestire le e-mail con allegati ricevute da indirizzi sconosciuti sempre con responsabilità e con la massima cautela.

@RIPRODUZIONE RISERVATA

Articolo 1 di 5