Vai al contenuto
Home » Blog » Il trojan bancario Gootkit diffuso via PEC contro utenti italiani

Il trojan bancario Gootkit diffuso via PEC contro utenti italiani

Ennesimo allarme da parte del CERT-PA su una campagna di email di spam che diffonde il trojan bancario Gootkit contro utenti italiani: la notizia è datata 28 Marzo e la campagna pare ancora in corso. Il problema è stato segnalato nei giorni scorsi da svariati utenti, principalmente appartenenti alla Pubblica Amministrazione: nelle segnalazioni si menzionano sia email PEC che email ordinarie come veicoli dell’allegato dannoso.
Le email vettore
Al momento, il CERT-PA conferma di aver proceduto ad analisi della campagna individuando due diverse tipologie di email vettore: una con oggetto “Tribunale di Napoli Procedura esecutiva immobiliare n. 981/2007”, che porta con sé come allegato un archivio compresso chiamato “Tribunale_di_Napoli__ABCDEF.zip“, dove ABCDEF sono serie di numeri casuali.
La seconda email riporta in oggetto  “invio sollecito n.105543 del 27/03/2019” e, in allegato, un file denominato “Tribunale_di_Napoli__ABCDEF.zip
La routine di infezione
L’allegato compresso contiene un file omonimo, ma di estensione .docm: questo a sua volta contiene una macro dannosa con un livello piuttosto basso di offuscamento. L’analisi della macro ha permesso, in prima battuta, di capire che tale campagna di infezione è rivolta esclusivamente contro utenti italiani: il codice infatti si esegue solo entro sistemi sui quali è impostata la lingua italiana. In caso contrario, il codice dannoso della macro non viene eseguito.
Riscontrata l’impostazione di lingua corretta, il codice contenuto nella macro scarica un file eseguibile da un dominio remoto evidentemente compromesso in precedenza per lo scopo: il file verrà rinominato “IntelMeFWServic.exe”.  Subito dopo viene scaricato un ulteriore file, ma di tipo Javascript, da un dominio differente: il malware si assicura così il funzionamento anche in caso il dominio precedente divenisse irraggiungibile. Il file JS è denominato “Searchl32.js“, è anch’esso lievemente offuscato e il suo unico scopo è ritentare il download dell’eseguibile da un nuovo repository.
Il codice che si ottiene presenta un maggiore livello di offuscamento: la decodifica rende possibile osservare come viene generato lo script powershell che servirà a lanciare l’eseguibile dannoso sul sistema infetto.
Il Trojan Gootkit
Come detto, questa campagna diffonde il trojan bancario Gootkit: parliamo di un malware nient’affatto nuovo, già utilizzato in numerose campagne precedenti e che si distingue principalmente perchè presenta un alto livello di diffusione precisamente in Italia.  La particolarità di questo trojan è che è descritto dai ricercatori di sicurezza come uno strumento privato (ovvero non in vendita ne né dark né nel deep web). Insomma c’è un gruppo di attaccanti o un attaccante che utilizza da qualche mese un trojan che è solo nella loro/sua disponibilità per infettare esclusivamente utenti italiani.
Ricordiamo che Gootkit è un malware bancario che ha fondamentalmente due finalità: rubare le credenziali bancarie degli utenti e intromettersi direttamente nelle attività di banking online tramite iniziezione di codice nel browser in uso.
Credit: S-mart