skip to Main Content

Cybercrime, la campagna malspam di Gootkit contro la PA in Italia passa per Napoli

Cybercrime, La Campagna Malspam Di Gootkit Contro La PA In Italia Passa Per Napoli

Il Cert-Pa: Napoli è protagonista della nuova campagna malspam del cybercrime contro la Pubblica Amministrazione in Italia. Gli attacchi hacker, in corso contro PEC e PEO, servono a distribuire il malware Gootkit, un trojan bancario

Il cybercrime usa Napoli per la sua nuova campagna malspam contro la Pubblica Amministrazione (PA) utenze in Italia, tesa a diffondere il malware Gootkit. Lo ha scoperto il CERT della Pubblica amministrazione (Cert-Pa). Gli esperti di cyber security hanno rilevato che è in corso un massiccio attacco hacker via mail contro caselle di Posta Elettronica Certificata (PEC) e Ordinaria (PEO). I messaggi, che contengono il trojan bancario, hanno due oggetti diversi. Il primo è “Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007” e in allegato è presente il file compresso “Tribunale_di_Napoli__ABCDEF.zip“, con ABCDEF numeri casuali. Il secondo, riporta “invio sollecito n.105543 del 27/03/2019” e ha il medesimo attachment dell’altro. Questi contengono un file con estensione .docm, all’interno del quale è presente una macro malevola con un livello di offuscazione piuttosto lieve.

Gli esperti di cyber security: i criminali cibernetici hanno preso di mira proprio l’Italia. Si tratta della prosecuzione delle campagne precedenti, cambiano solo  server per distribuire il malware e quelli contattati da quest’ultimo

L’analisi della macro malevola, evidenza che l’esecuzione del codice è concesso solo a sistemi le cui impostazioni della lingua risultano configurate in lingua italiana. Di conseguenza, gli attori del cybercrime dietro alla campagna malspam puntano proprio al nostro paese. Una volta soddisfatta questa condizione, infatti, il codice provvede a scaricare un eseguibile (solitamente puntando ad una risorsa denominata “501“) da un dominio remoto precedentemente compromesso. Questo verrà successivamente rinominato “IntelMeFWServic.exe”. Per sicurezza, inoltre, il codice malevolo scarica un ulteriore file JavaScript: “SearchI32.js”, che ritenta il download del file eseguibile da un nuovo repository. Dalla sua decodifica, gli esperti di cyber security hanno osservato la generazione di uno script powershell, che dovrà lanciare l’eseguibile sul sistema della vittima. Anche in questo caso, sia i dropper sia i malware sono simili a quelli delle campagne precedenti. Cambiano solo i server per distribuire il malware e quelli contattati da quest’ultimo.

Back To Top