Il CSIRT-Italia ha lanciato un allarme riguardante una nuova campagna di distribuzione malware che sta prendendo di mira i sistemi informatici italiani. Questa minaccia si diffonde tramite e-mail fraudolente progettate per carpire informazioni sensibili dai sistemi bersaglio.
Le e-mail malevole in questione contengono un allegato in formato Disk Image (.IMG), utilizzato solitamente per memorizzare immagini raw da volumi ottici o magnetici in drive virtuali. Questo file IMG nasconde al suo interno un eseguibile dannoso con estensione .EXE o .BAT, riconducibile al trojan downloader GuLoader.
Qualora il volume virtuale venga montato e il relativo contenuto avviato, il codice malevolo estrae le sue componenti all’interno di specifiche sottocartelle in \Appdata\Local. Successivamente, lancia un comando PowerShell che inietta codice binario nel processo legittimo di Windows Address Book (wab.exe), componente legittima di Windows utilizzata per gestire i contatti anche in applicazioni lecite come People, Windows Mail e Microsoft Office Outlook.
Nel dettaglio, il codice binario iniettato scarica un payload malevolo con estensione .BIN da una risorsa remota, associato al malware Agent Tesla. Questo payload utilizza tecniche avanzate per eludere i meccanismi di sicurezza, come l’offuscamento del codice e la verifica che l’ambiente di esecuzione non sia virtualizzato, ad esempio tramite QEMU.
In caso di esito positivo, il malware raccoglie informazioni sensibili dal sistema target, ottiene persistenza e procede all’esfiltrazione dei dati tramite il protocollo SMTP (porta 587).
Il CSIRT-Itali invita gli utenti e le organizzazioni a prestare la massima attenzione al comportamento di questo tipo di malware, monitorando eventuali modifiche del registro di sistema effettuate da processi sospetti e il relativo traffico di rete.
Inoltre, per far fronte a questa tipologia di attacchi possono verificare scrupolosamente le comunicazioni ricevute e attivare le seguenti misure aggiuntive:
- fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing; diffidare da e-mail inattese e/o contenenti allegati con all’interno file archivio, drive virtuali e/o eseguibili (ad esempio file con estensioni “zip”, “rar”, “7z”, “img”, “iso”, “vbs”, “ps1”, “js”, “exe”, “bat”, ecc.)
- verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità.
Si raccomanda infine di implementare gli Indicatori di Compromissione forniti dal CSIRT-Italia sui propri apparati di sicurezza per proteggersi efficacemente da questa nuova minaccia.
