skip to Main Content

Cybercrime, nuova campagna con Gootkit in Italia: oltre 60 domini nel mirino

Cybercrime, Nuova Campagna Con Gootkit In Italia: Oltre 60 Domini Nel Mirino

Il CERT-PA: nuova campagna malspam del cybercrime in Italia per diffondere il malware Gootkit, attraverso PEC compromesse. I messaggi simulano la risposta a una conversazione intercorsa

Oltre 60 domini italiani sono nel mirino di una nuova campagna del cybercrime con il malware Gootkit. Lo rivelano gli esperti di cyber security del Cert della Pubblica Amministrazione (CERT-PA), che hanno pubblicato la lista delle vittime per le quali il trojan bancario resta in ascolto in attesa di carpire le credenziali. Come nei precedenti attacchi informatici di tipo malspam che coinvolgono il codice malevolo, questo viene veicolato attraverso indirizzi di Posta Elettronica Certificata (PEC), precedentemente compromessi, e i bersagli sono sempre Enti pubblici nel nostro paese. Nell’ultima ondata il messaggio simula una conversazione già intercorsa tra le parti e riporta in allegato un archivio (.zip) che contiene un documento ufficiale (di solito un pdf legittimo prelevato online da un sito scelto casualmente da una delle PA centrali) e un file .jse denominato Avviso, Ordine o Preventivo.  L’obiettivo è ingannare l’interlocutore e far sì che apra entrambi gli allegati.

Gli esperti di cyber security: come nelle precedenti ondate di attacchi informatici, i bersagli sono sempre gli enti pubblici

Secondo gli esperti di cyber security, una volta che l’Ente pubblico ha aperto anche il file .jse, comincia la catena d’infezione del malware Gootkit. Il file, opportunamente offuscato, esegue uno script powershell che ha lo scopo di scaricare un eseguibile (tipo PE) da un dominio remoto e salvarlo nella cartella Temp col nome di “Taskhoste.exe“. Dopo una pausa di 30 secondi questo verrà eseguito sul sistema e creerà un altro PE direttamente nella memoria, che attiva il trojan bancario. E’ quasi un anno che l’Italia è stata presa di mira in modo persistente dal cybercrime con campagne Gootkit, diffuse peraltro attraverso la PEC. Tanto che nei mesi scorsi il malware ha cominciato a “collaborare” con un altro codice malevolo: Danabot. Sempre e solo contro obiettivi nel nostro paese, nonché con messaggi che simulano la risposta a una conversazione già in corso.

Back To Top