Gootkit, false comunicazioni Inail veicolano il malware via Pec

(via http://www.cyberaffairs.it/)

Una campagna di malspam, un massiccio invio di email (phishing) anche contro utenti privati avente come oggetto “INAIL Comunica XXXXXXX” (dove “XXXXXXXX” un numero casuale di 8 cifre) è stata rilevata dal Cert-PA. L’e-mail si presenta come proveniente dal dominio legalmail.it e ha lo scopo di infettare l’utente con il malware Gootkit.

L’e-mail contiene in allegato due file:

 INAIL_Comunica_XXX.ppd – Un file XML contenente i dati di una falsa denuncia. Lo scopo di questo file è quello di indurre un senso di urgenza ed importanza all’utente;

 INAIL_Comunica_YYY.vbs – Uno script che scarica il malware GootKit e lo esegue sul computer della vittima.

Lo script allegato, se eseguito, oltre a lanciare il malware GootKit installa un altro script JS che funge da client della botnet usata dagli attaccanti. Il client ha la possibilità di scaricare ed eseguire ulteriori file e di lanciare script PS su comando del C&C (risalente al dominio sad.childrensliving.com). 

Dall’analisi del file VBS risultano esclusi dall’infezione i seguenti Paesi: Russia, Ucraina, Bielorussia e Cina.

Nel campione osservato dal Cert-PA si ha evidenza che il comando impartito al computer della vittima è quello di diffondere il malware tramite un server Imap (presumibilmente compromesso e presumibilmente italiano a giudicare dai messaggi di errore gestiti) ad una serie di indirizzi e-mail forniti dal C&C. In seguito le e-mail sono cancellate dal server.
Le campagne di malspam relative al malware Gootkit sono in forte aumento e sempre più spesso viene fatto uso di account PEC precedentemente compromesse per dare importanza al messaggio spacciandolo per una comunicazione ufficiale e di conseguenza puntare ad aumentare il numero di vittime.

(fonte: http://www.cyberaffairs.it/)

(credits immagine: https://www.kinetica.it/)