Mostra tutti

jRAT\AdWind diffuso tramite malspam con riferimenti DHL

jRAT\AdWind diffuso tramite malspam con riferimenti DHL

Dalle attività di monitoraggio il CERT-PA ha rilevato un nuovo caso di malspam che punta a consegnare file malevoli, con estensioni .jar, utilizzando, come spesso avviene, il vettore di consegna DHL. Attraverso l’analisi del malware, rileviamo che si tratta di una variante di “jRAT”, uno strumento RAT (Remote Access Trojan) commerciale con funzionalità dannose.

Di seguito la rappresentazione di un messaggio rilevato:

jRAT\AdWind, malspam, DHL,

 

A partire dall’anno in corso, questa tipologia di malware (jRAT/AdWind) è stata largamente utilizzata anche associata a campagne di malspam di altri noti marchi di spedizione tra cui UPS oltre che utilizzare comunicazioni con riferimenti a Banca d’Italia.
Trattandosi di malware scritto in Java può essere eseguito su più piattaforme ove presente JVM (Java Virtual Machine). Il codice malevolo è composto da due parti principali: lo strumento jRAT e la componente dropper che viene utilizzata per decifrare e installare jRAT sulla macchina target.

La campagna e il malware sono stati diffusi principalmente sul territorio italiano a partire dalle prime ore del giorno odierno

jRAT\AdWind, malspam, DHL,

Riconoscimento Antivirus jRAT\AdWind

Al momento il file .jar allegato non viene rilevato come minaccia dalle protezioni Antivirus:

jRAT\AdWind, malspam, DHL,

Dalle analisi, ancora in corso, emerge che il malware utilizza diverse tecniche di evasione e di controllo sulla presenza di software (T1063 – Security Software Discovery).

Indicatori di compromissione

Malspam

Mittente: vanitha.chn@cargoconsol.in
Server di invio: anubis.silihost.hu ([84.2.38.67])

Oggetto: CONFERMA PACCHETTO DA HAWB DHL CON NUMERO FATTURA 7773763749

NOTA: Mittente e infrastruttura di invio potrebbero cambiare nel corso della campagna, tuttavia l’oggetto potrebbe variare solo in relazione al numero di fattura.

Allegato

Nome file: Dettaglio indirizzo di conferma ………….jar
Tipo di file: Java archive data (JAR)
Dimensione file: 513.66 KB (525983 bytes)
SHA256:2a5ae7cb680d2c1f8718955ecb61ea09d40106addc8ff716047634759661151c
Analisi infosec: https://infosec.cert-pa.it/analyze/2380e861faf0a7fd487b9e2a8fa21c9b.html

IoC Network

2[.]18.213.195 (IP info Virus Total)
95[.]100.252.34 (IP info Virus Total)
85[.]163.100.41 (IP info Virus Total)

NOTA: I primi due indirizzi indicati sono ospitati dall’infrastruttura “akamai”, pertanto potrebbero essere contattati per finalità secondarie, mentre l’ultimo IP indicato rappresenta il server di C&C, contattato dal processo “javaw.exe”, in relazione alla risoluzione del dominio edumartins[.]zapto.org (porta TCP di destinazione 2888)

Contromisure
Azioni di contrasto sul caso in oggetto possono essere applicate tramite specifici filtri sui server di posta, ad esempio sull’oggetto o la tipologia di allegato.
Generiche contromisure contro minacce di questo tipo possono essere attivate tramite l’attuazione di politiche di controllo e funzionalità di Windows tra cui:

  • Criteri di restrizione software (applicabile a Windows 8.1, Windows Server 2012 R2, Windows Server 2012, Windows 8)
  • Windows AppLocker (applicabile a Windows 7 e Windows Server 2008 R2)

 

libro vita da hacker