Negli ultimi giorni, il CERT-AGID ha rilevato una serie di campagne mirate contro l’Italia, finalizzate alla diffusione del malware Adwind/jRAT. Queste campagne utilizzano email che contengono un archivio ZIP con file HTML denominati FATTURA.html o DOCUMENTO.html, talvolta con doppia estensione come .pdf.html.
Il file HTML incluso contiene codice JavaScript che verifica la lingua del browser in cui viene aperto. Se impostato su italiano, il file visualizza una pagina malevola; altrimenti, una pagina vuota. Viene mostrata un’immagine codificata in base64 all’interno della pagina HTML che avverte di una versione obsoleta di Adobe Acrobat Reader, invitando l’utente a cliccare su “OK” per visualizzare il documento. Se l’utente clicca su “OK” viene rilasciato un file FATTURA.jar, anche esso codificato in base64 all’interno della pagina HTML, o, in alcuni casi, viene scaricato da remoto.
VirusTotal e le sandbox online non identificano subito il file JAR come completamente malevolo, complicando la sua individuazione. L’analisi ha rivelato che il file contiene stringhe cifrate con algoritmi come Blowfish e DES e verifica che la lingua del sistema sia impostata su italiano. Solo dopo aver bypassato queste verifiche preliminari, il codice decifra le stringhe e scarica un file (Imagem.jpg) da una risorsa remota, che in realtà è un altro file JAR.
Questo file, Imagem.jar, non è inizialmente rilevato come malevolo. Tuttavia, dopo ulteriori analisi con Bytecode Viewer, si scopre che esegue controlli simili e scarica un altro file da una URL specifica. Alla fine, il file viene correttamente identificato come Adwind/jRAT/njRAT dalla sandbox Any.Run. Questo trojan di accesso remoto (RAT) sfrutta Java per assumere il controllo del sistema compromesso e raccogliere dati.
Adwind/jRAT è un trojan di accesso remoto (RAT), noto per la sua modularità e difficoltà di rilevazione, che sfrutta Java per assumere il controllo del sistema compromesso e raccogliere dati dalle macchine delle vittime. Sebbene generalmente indipendente dalla piattaforma, Adwind/jRAT si concentra su macchine Windows e applicazioni comuni.
Per contrastare questa campagna fraudolenta, il CERT-AGID ha condiviso gli Indicatori di Compromissione identificati.
https://cert-agid.gov.it/news/campagne-adwind-jrat-attive-contro-obiettivi-italiani/
