Il CERT-AGID ha individuato una campagna malevola rivolta agli utenti italiani, volta a distribuire il trojan XWorm RAT. L’attacco avviene tramite email fraudolente mascherate da comunicazioni ufficiali della società Namirial, noto gestore di servizi di fatturazione e firma digitale.
Modalità di Diffusione
L’email, redatta in italiano, invita il destinatario a visualizzare un documento PDF allegato. Se il file non si apre correttamente, viene suggerito all’utente di cliccare su un link alternativo inserito nel corpo del messaggio. In realtà, il PDF è un’esca protetta da password, progettata per spingere l’utente a cliccare sull’unico link alternativo disponibile che avvia il download di un archivio ZIP ospitato su Dropbox, contenente un file URL. Da qui si avvia la catena di infezione.
Dettagli Tecnici
Il file URL sfrutta la funzionalità TryCloudflare, consentendo agli attaccanti di creare tunnel temporanei verso server locali e testare il servizio senza necessità di un account Cloudflare. Ogni tunnel genera un sottodominio casuale su trycloudflare.com, utilizzato per reindirizzare il traffico attraverso la rete di Cloudflare verso il server locale.
Il file URL scarica un file BAT offuscato con BatchShield, un tool che può essere facilmente deoffuscato con uno strumento specifico chiamato BatchShield decryptor. Il processo prosegue con il download di un archivio ZIP contenente l’interprete Python, che esegue gli script malevoli già inclusi nell’archivio. Questo processo porta al rilascio di uno tra i seguenti malware: AsyncRAT, DCRat, GuLoader, VenomRAT, Remcos RAT o, come nel caso attuale, XWorm.
Il CERT-AGID ha pubblicato gli Indicatori di Compromissione rilevati, per permettere alle organizzazioni e agli utenti di riconoscere e mitigare il rischio di infezione.
https://cert-agid.gov.it/news/xworm-diffuso-in-italia-tramite-falsa-fattura-namirial/
