Nuova campagna malspam in Italia per diffondere il Trojan DanaBot

Italia Malspam Danabot Cert Pa Trojan Malware Tgsoft Yoroi Cybazezlab Cybersecurity Cybercrime Infosec

Allarme del CERT della Pubblica Amministrazione (CERT-PA): In corso una nuova campagna di malspam in Italia per diffondere il trojan Danabot. Samples analizzati da TG Soft e Yoroi-Cybaze ZLab

Nell’ultima settimana è stata tracciata una nuova campagna di Malspam in Italia. E’ volta a diffondere il pericoloso Trojan DanaBot. Lo denuncia il CERT della Pubblica Amministrazione (CERT-PA). La catena d’infezione viene avviata mediante messaggi di posta elettronica fraudolenti, confezionati ad-hoc utilizzando metodi di “ingegneria sociale” al fine di indurre la vittima ad aprire allegati malevoli e/o a cliccare su link presenti nel corpo del messaggio. Nei casi analizzati dagli esperti di cyber security di TG Soft e Yoroi-Cybaze ZLab le email fraudolente contengono falsi riferimenti a “Processi di Fatturazione” e allegati con archivi .rar malevoli. L’archivio .rar contiene al suo interno uno script “vbs” il quale, una volta eseguito, rimane silente per alcuni minuti prima di avviare l’infezione dell’host scaricando il malware.

Gli attacchi per diffondere il malware sono cominciati il 10 novembre e i picchi massimi registrati finora ci sono stati tra il 19 e il 24 del mese

Il CERT-PA ricorda che il Trojan “DanaBot”, una volta impiantato nel sistema della vittima, consente di condurre cyber attacchi di vario tipo. Da man-in-the-browser, per intercettare e alterare la navigazione internet dell’utente, a quelli rivolti a sottrarre credenziali e password. Che siano di sistema, del browser o del client di email. Inoltre, il malware potrebbe puntare a ottenere l’accesso remoto via VNC e RDP. Il terzo stage del codice malevolo consiste, inoltre, nell’effettuare la persistenza sulla macchina infetta. Ciò grazie a un servizio che lo eseguirà a ogni riavvio del computer. Peraltro, da analisi closint effettuate dal CERT-PA relativamente ai server con indirizzo IP 192.71.249.50 e 176.119.1.100, è emerso che la campagna per veicolare Danabot in Italia ha avuto inizio il 10 novembre con un picco massimo di download finora, registrato nei giorni compresi tra il 19 e il 24 del mese.

L’analisi di TG Soft sul malware

Il warning di Yoroi-Cybaze Zlab sulle ondate di cyber attacchi