NEWS

Seqrite sventa una campagna di phishing JAVA jRAT indirizzata a un'ambasciata


MERCOLEDÌ 17 GENNAIO 2018 - 15:00



I Quick Heal Security Labs
 stanno osservando attivamente le campagne jRAT, malware basati su JAVA, che si diffondono attraverso campagne di phishing. Durante l'analisi di tali campagne, abbiamo scoperto che un'ambasciata internazionale in India era stata presa di mira dai phisher. Il malware utilizzato nella campagna di phishing era il famigerato malware JAVA chiamato jRAT. I phishers hanno inviato un'email di phishing all'indirizzo email ufficiale dell'ambasciata in questione.

Ecco come si presenta l'email.


Come mostrato nella figura sopra, una falsa notifica di spedizione DHL viene inviata all'indirizzo email designato, questo è un classico esempio di truffa tramite email di phishing.Il contenuto complessivo dell'email sembra accurato ed è abbastanza attraente da indurre l'utente ad aprire l'allegato per saperne di più sulla notifica di spedizione.

L'allegato email "ORIGINAL SHIPPING DOCUMENT.zip" è un file ZIP contenente il file "ORIGINAL SHIPPING DOCUMENT.jar".
Facciamo notare che è insolito che una notifica di spedizione abbia un file ".jar" come allegato.Una volta che l'utente fa doppio clic su questo file jar, il malware viene eseguito.

Oggi, sono molte le applicazioni che richiedono JAVA /JRE per la loro esecuzione. Quindi, le possibilità che un JAVA /JRE sia installato sui sistemi degli utenti finali sono estremamente alte, ciò aumenta le possibilità di esecuzione del malware sul sistema preso di mira.

Rilevamento di Seqrite
Questo particolare tentativo di phishing effettuato presso l'ambasciata è stato bloccato con successo dai prodotti Seqrite grazie al il suo rilevamento JAVA "JAR.Suspicious.A"

Catena di infezione
In questa campagna di phishing JRAT è stata riscontrata la tipica catena d'infezione.



Dettagli tecnici
Come illustrato nella figura 2, dopo l'esecuzione del malware "Parent JAR", vengono copiati 2 file VB script e il malware jRAT nella posizione "%Temp%". Questi script VB sono responsabili dell'identificazione di diversi prodotti antivirus e di prodotti firewall installati sul sistema. Verifica anche la presenza di eventuali Virtual Machine: se ne individua, il malware blocca la propria attività (sono tecniche per impedire lo studio dei malware da parte dei ricercatori di sicurezza). 

Di seguito sono riportate le immagini dei file VBS.



Il file JRAT è collegato a un dominio C&C 'vvrhhhnaijyj6s2m.onion[.]Top'. Questo dominio C&C è ospitato su 46.246.120.179. Secondo gli scanner online questo dominio e l'IP sono dannosi. La comunicazione avviene attraverso un canale SSL.




Al momento della nostra analisi, il server C&C non ha risposto con il payload finale. In generale, abbiamo rilevato che la campagna jRAT viene usata anche per distribuire infostealer finalizzati al furto di dati e credenziali. 

Sebbene il phishing sia una tecnica vecchia per la diffusione di malware, resta una delle più semplici ed efficaci utilizzate dai malintenzionati. Consigliamo ai nostri utenti di rimanere protetti mantenendo aggiornata la loro soluzione Endpoint Security (EPS) con gli ultimi aggiornamenti di sicurezza.

Misure di sicurezza
Ecco un'infografica che spiega che cosa è il phishing. Di seguito sono riportati alcuni suggerimenti utili per evitare attacchi di phishing.
  • Non aprire e-mail provenienti da fonti sconosciute, indesiderate o inaspettate.
  • Non cliccare su collegamenti o scaricare allegati presenti in tali email.
  • Non aprire allegati email con estensione come .js, .jar, .exe. e .pdf.
  • Disabilitare la macro VBA nell'applicazione Microsoft Office.
  • Applica tutti gli aggiornamenti consigliati sul tuo sistema operativo, programmi come Adobe, Java, browser Internet, ecc.
  • Assicurati che il tuo software di soluzione Endpoint Security (EPS) sia aggiornato.
  • Fai regolarmente i backup dei tuoi file.
Indicatori di compromissione
Notifica di spedizione DHL: 85482550044
ORIGINAL SHIPPING DOCUMENT.zip
ORIGINAL SHIPPING DOCUMENT.jar
F2727B26A75F9DF01E464B9144117AE1
B01F4758F4FD791B851D64FC16B56D08
vvrhhhnaijyj6s2m.onion[.]top
46.246.120.179

Le ultime news

Chi siamo

Risorse

Supporto

Area informativa

 





Distributore ufficiale per l'Italia
S-MART è un marchio di proprietà netWork Sas
P.IVA: 05345670482




© 2017     |     Privacy Policy     |     Cookie Policy     |     Login