Il CERT-PA: Il gruppo Gorgon è tornato a colpire. Sta diffondendo, soprattutto in Europa, una nuova campagna di spear phishing per veicolare malware mascherato da fatture

Il gruppo Gorgon ha lanciato una nuova campagna di spear phishing, che si concentra soprattutto in ambito europeo. E’ l’allarme lanciato dagli esperti di cyber security del CERT-PA. L’APT, scoperta nel 2018, è nota per aver attaccato Istituzioni e aziende in tutto il mondo. Come di consueto, la campagna dei cyber criminali si basa sull’invio di e-mail con allegato un file Excel. Questo contiene una macro VBA, che si attiva all’apertura del documento avviando la catena di infezione. Il messaggio di spear-phishing, di recente rilevato dai ricercatori di Heimdal Security, riporta come oggetto la presunta fattura “Re: Invoice_74521451” e l’allegato è “Invoice_74521451.xls”. Il contenuto, diffuso in inglese, afferma: “Dear Sir, my colleague handling this order is out of office for his vacation. Please confirm the attached invoice as enabling us to proceed with the payment schedule. Regards”. La firma, infine, è “Sri Astuti”.

I ricercatori di cyber security: I criminali cibernetici usano un trucco per rendere più difficile identificare l’attacco. L’allegato malevolo, peraltro, al momento del rilevamento era noto a un numero limitato di antivirus

Secondo i ricercatori di cyber security, Gorgon ha reso più difficile identificare il cyber attacco, grazie a un trucco. Il gruppo del cybercrime, infatti, ha usato i servizi di condivisione come Pastebin per il download del payload. L’APT si collega a pagine appositamente create sull’applicazione web per scaricare un codice Javascript / VBA, opportunamente offuscato, eseguendo alcuni comandi da shell. Il traffico rilevato nel caso analizzato è stato successivamente reindirizzato su ulteriori indirizzi Pastebin. In seguito il malware crea un’attività pianificata che garantisce il download ad intervalli. Vengono utilizzati tre metodi di offuscamento degli script: “StrReverse“, “split variables” e “multiple Wscript objects”. Il payload, inoltre, utilizza la funzione “LoadWithPartialName” tramite “reflection assembly” nel framework NET per scaricare ed elaborare i dati grezzi in memoria. Peraltro, il documento XLS dannoso al momento del rilevamento era noto ad un numero limitato di antivirus.