Il CERT-PA scopre una campagna malware, che usa la Banca d’Italia come esca per far aprire allegati malevoli
Anche la Banca d’Italia diventa vittima, inconsapevole, degli hacker del cybercrime. Il CERT della Pubblica amministrazione (CERT-PA) ha scoperto una campagna di malware spam, veicolata tramite falsa email che sembra provenire da Palazzo Koch, ma in realtà arriva da un server localizzato in Nigeria già noto per precedenti attività malevole. L’organismo avverte anche che la medesima campagna ha avuto inizio a ottobre del 2017, prendendo di mira target differenti in Europa. Il corpo della mail riporta un testo in lingua inglese e in calce sono visibili i contatti di Banca d’Italia. Al suo interno si invita l’utente ad aprire il file allegato e a rispondere entro 48 ore dalla ricezione della stessa. Il campione analizzato ha una detection su VirusTotal di 18/58 ed è classificato come AdWind Java Trojan/Rat. Precedenti campagne simili sono state trattate dal CERT-PA nel mese di Febbraio del 2018.
Come si installa e opera il Trojan Rat
Il file allegato presenta una doppia estensione “.pdf.jar” e una volta eseguito rilascia un file “.vbs” contenuto all’interno del sample in forma cifrata, avverte il CERT-PA. Quando è stato tradotto in chiaro, lo script VBS viene lanciato attraverso il comando cscript. Il suo compito è enumerare tramite WMI (Windows Management Instrumentation) la presenza di software antivirus di terze parti all’interno della macchina compromessa. Superata questa fase di controllo il malware cerca di garantirsi la persistenza scrivendo un nuovo valore nel registro di sistema alla voce “Run” di HKCU. Successivamente il sample stabilisce una connessione TPC con un server remoto localizzato ad Amsterdam, con il quale scambia una serie di pacchetti in forma cifrata.
Cosa è AdWind e quali sono le sue capacità come malware
Il Rat AdWind è un Trojan anche noto come AlienSpy, Frutas, Unrecom, Sockrat, JSocket e jRat. Fa parte della Piattaforma Malware-as-a-Service ed è distribuito in maniera “open” dietro pagamento di un corrispettivo. Le sue finzioni comprendono la raccolta di keystrokes, il furto di passwords, l’aquisizione di dati da moduli web, la capacità di prendere screenshots, foto e video da una webcam. Inoltre, il codice malevolo è in grado di registrare suoni dal microfono e trasferire file. Senza contare la possibilità di acquisire informazioni sull’utente e sul sistema generale della macchina-bersaglio, rubare le chiavi dei cryptocurrency wallets e dei certificati VPN. Infine, se installato su dispositivi Android può anche gestire l’invio, la ricezione e la visualizzazione di SMS.