skip to Main Content

I malware Danabot e Gootkit, usati dal cybercrime per attacchi in Italia, sono collegati

I Malware Danabot E Gootkit, Usati Dal Cybercrime Per Attacchi In Italia, Sono Collegati

ESET scopre che i malware Danabot e Gootkit hanno cominciato a cooperare tra loro per attacchi  via PEC con campagne di Malspam in Italia

I due malware, Danabot e Gootkit, usati dal cybercrime per attaccare numerosi bersagli in Italia sono collegati. Lo hanno scoperto i ricercatori di cyber security di ESET. Secondo quanto riporta una ricerca dell’azienda, i due trojan bancari stanno “collaborando”, potenziandosi a vicenda. Il primo, infatti, è in grado di sfruttare anche gli account compromessi dal secondo. Questo ha lanciato attacchi cibernetici contro le PEC nel nostro paese, grazie a campagne Malspam, come ha riportato anche il CERT della Pubblica Amministrazione (CERT-PA). Le aggressioni informatiche sono divise in due fasi. La prima prevede la raccolta degli indirizzi email, sfruttando la tecnica del webinject, che prevede l’inclusione di codice malevolo all’interno di una pagina web. La seconda, l’invio di spam. I messaggi vengono inviati come risposte a messaggi già presenti in casella, in modo da rendere più efficace la campagna malevola e più veritieri i messaggi agli occhi dei destinatari.

Per la prima volta i gruppi di criminali cibernetici dietro ai due trojan bancari lavorano insieme

Gli esperti di cyber security hanno rilevato che i due malware sono collegati da una serie di elementi. Il file VBS di Danabot punta a un modulo di download di GootKit, il famoso trojan bancario e il suo codice, generato automaticamente, varia ogni volta. Secondo ESET, è la prima volta che indicatori di Gootkit vengono ritrovati in Danabot. Finora i gruppi criminali dietro ai due trojan bancari non erano mai stati collegati fra di loro. Entrambi hanno sempre agito come entità “chiuse”, mantenendo il codice sorgente segreto. Recentemente si sta invece assistendo a un’apertura: anche GootKit avrebbe infatti distribuito il trojan Emotet in occasione delle campagne malevoli, avvenute durante il Black Friday e il Cyber Monday. Inoltre, gli attaccanti sarebbero particolarmente interessati agli indirizzi aventi sottostringa “pec”. Questa è tipicamente utilizzata per le caselle certificate italiane. Ciò conferma che il cybercrime punta aziende e pubblica amministrazione nel nostro paese.

Quali sono i collegamenti tra Danabot e Gootkit

Oltre alla presenza di Gootkit sui server di Danabot, sono state ritrovate altre evidenze che provano il collegamento tra questi due gruppi criminali: la telemetria di ESET ha rilevato attività di Gootkit verso una sottorete 176.119.1.0/24 del server C&C e a un domino di primo livello (TLD) utilizzato da Danabot; i nomi domini di Danabot , anche se appartenenti tutti al TLD “.co”, cambiano nel giro di qualche giorno (per esempio egnacios[.]co, kimshome[.]co ecc). I sample di Gootkit scaricati attraverso il payload malevolo sul C&C di Danabot hanno funetax[.]co e reltinks[.]co come loro C&C, entrambi risolti nell’IP 176.119.1.175; i domini di Danabot e Gootkit condividono lo stesso domain registrar (Todaynic.com Inc) e soprattutto hanno lo stesso name server. Inoltre, come evidenziato dagli esperti di cyber security, a partire dal 29 ottobre è stato rilevato un grosso decremento della diffusione di Danabot in Polonia e contemporaneamente nello stesso periodo si è avuto un picco dell’attività di Gootkit che ha utilizzato lo stesso metodo di diffusione di Danabot delle precedenti campagne polacche.

La ricerca integrale di ESET

Back To Top