Dal sito del CERT-PA è stato pubblicato un nuovo avviso circa una campagna di malspam che sfrutta l’Agenzia delle Dogane come mittente fittizio al fine di installare un malware RAT sul pc delle vittime.
Si tratta di Remcos. Il malware facente parte della famiglia dei RAT (remote access Trojan) e tale tipologia di malware permette al cybercriminale di intallare una backdoor ed ottenere il controllo dell’intero sistema da remoto del computer della vittima. I RAT vengono generalmente scaricati in modo invisibile con un programma che l’utente scarica o installa, ad esempio un gioco, o inviati come allegato e-mail. Una volta che il sistema host è stato compromesso, l’intruso può utilizzarlo per distribuire i RAT ad altri computer vulnerabili e stabilire una botnet.
Nello specifico viene sfruttata l’email che come specifica il CERT-PA potrebbe essere transitata da un server romeno bursa.ro. L’email è obiettivamente mal scritta probabilmente frutto di un traduttore automatico.
Ortograficamente si possono notare diversi errori partendo dall’oggetto “prendere nota: merci contraband di nuova pubblicazione doganale”.
E’ presente un allegato denominato “ELENCO DEI CONTRABANDI PERSONALIZZATI.PDF.R00″, si tratta di un archivio RAR che contiene un file eseguibile con lo stesso nome.
Il file eseguibile è un packer AutoIT che ha come payload il noto malware Remcos, il cui scopo è quello di consentire agli attaccanti di prendere possesso del computer della vittima.
Non è la prima volta che l’Agenzia per le Dogane è stata coinvolta in attività di malspam da parte di hacker. Già il 26 luglio era stato pubblicato un avviso nel quale la stessa Agenzia comunicava che l’utilizzo fraudolento del proprio nome e logo era stato usato per diffondere alcuni non meglio precisati “certificati di sdoganamento”, allegati a email contenenti malware.
Ecco gli IoC segnalati:
- IoC (.txt) – Domini, Hash
- IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr
Fonte: CERT-PA
