skip to Main Content

Il cybercrime usa nuovi trucchi per diffondere il malware Gootkit in Italia

Il Cybercrime Usa Nuovi Trucchi Per Diffondere Il Malware Gootkit In Italia

Nuovi attacchi dal cybercrime in Italia per diffondere il malware Gootkit. D3Lab scopre un’altra campagna di malspam, con caratteristiche aggiuntive rispetto alle precedenti

Cambiano ancora gli attacchi hacker del cybercrime in Italia per diffondere il malware Gootkit. I ricercatori di cyber security di D3Lab ha rilevato una nuova campagna di Malspam. Questa sta colpendo bersagli localizzati nel nostro paese, veicolando il trojan bancario. A differenza delle aggressioni cibernetiche precedenti, presenta alcune caratteristiche aggiuntive. Innanzitutto c’è il controllo preventivo del sistema target da compromettere. Inoltre, il file Dropper scaricabile tramite link, una volta scompattato, assume dimensioni tali da non poter essere sottomesso in sandbox di malware analysis online. Infine, si registrano variazioni nella struttura della mail, usata come esca. Questa, comunque, utilizza come nei casi precedenti falsi riferimenti a rapporti commerciali e/o convenzioni intercorsi tra le parti. Nel corpo del messaggio, scritto in un italiano non del tutto corretto, la vittima viene invitata a scaricare attraverso un link il documento/fattura/ricevuta relativa a una fittizia transazione commerciale.

Gli esperti di cyber security del CERT-PA: Attenzione, la campagna per diffondere il trojan bancario si sta diffondendo in Italia

Il link malevolo presente nella mail-esca indirizza la vittima ad alcuni URL, dove viene effettuato un “controllo preventivo” (lato server) per identificare il sistema operativo che sta effettuando la richiesta. Nel caso in cui provenga da un browser“Internet Explorer”  viene eseguito il download di un archivio .ZIP, chiamato “2018 DICEMBRE DOCUMENTI.zip” Questo contiene al suo interno due file: un .VBS ed un .DAT rispettivamente denominati 04 DICEMBRE 2018.vbs e dbpreview.dat. Mentrecil file .dat è in realtà una JPEG che non contribuisce alla catena di compromissione, il file VBS rappresenta il dropper che il cybercrime sta usando per diffondere Gootkit e cambia nome con una certa frequenza. Il CERT della Pubblica Amministrazione (CERT-PA) ha effettuato alcune analisi e ha rilevato costante attività malevola a partire dal 4 dicembre 2018 fino al 6. inoltre, è stato stabilito che la campagna malware si sta diffondendo in Italia.

Back To Top