L’allegato zip contiene un file exe: il malware stesso. I dati rubati sono esfiltrati via SMTP.
Cybercrime, Ostap colpisce l’Italia attraverso falsi bonifici e fatture
Analisi tecnica del Malware Hunter JAMESWT
Ostap prende di mira l’Italia con una campagna del cybercrime legata a falsi bonifici e fatture. La catena d’infezione parte da un allegato Word o XLS con macro. Una volta chiuso, uno script contatta il C2 per scaricare altri malware e recuperare il payload finale
Ostap prende di mira l’Italia con una campagna del cybercrime legata a falsi bonifici e fatture. Nelle ultime ore stanno circolando email fake provenienti da aziende vere su una presunta ricevuta di versamento a favore della potenziale vittima, come confermano anche gli esperti di cybersecurity di TG Soft. Obiettivo: far sì che apra l’allegato, un documento Word o Excel, il quale contiene al suo interno delle macro, che si attivano solo quando l’utente chiude il file. Se ciò si verifica, viene lanciato uno script che contatta il server C2 per scaricare altri malware e recuperare il payload finale. Ostap, infatti, è diventato molto noto negli ultimi anni come vettore di distribuzione di trojan bancari e nel tempo si è trasformato anche in una botnet.
Il testo della mail-trappola
C2 Relation
Gli Indicatori di Compromissione (IoC)
DOC
MD5
1ac591d68489e5a0d5a2eec131b81a8c
8e5aacbc0e4ff084a0193ba315167f2b
c8719625163f8b2c1a5989f0c7be15e9
4bc73cd484291f7918bd7a792517c003
35fb2f1b7db7395a7174d872c4952ac3
6c08c1019eba95952e5771f71204ebe9
b438c4cb55b41712e38324c2bc8d4b15
24c5385748073e24b2f7aee6c26ba3b4
XLS
MD5
8584178b387d7dfe4d8e75e13161348a
VBE
MD5
823621d08a6e1d56f49d849cc55852a7
JS
MD5
9e4a5826a1a1cf37b3027322a8e74486
Ostap Downloader
MD5
3720523ef42644b37bc895d47b1a5850
71cf2e83c2b2a6dcacb5c4de2aeb6f31
C2
188.116.36[.143