Примерно через три месяца после последней волны, прошедшей в ноябре 2023 года, CERT-IT снова столкнулись с новой масштабной кампанией, направленной на итальянских пользователей и использующей тему "Налоговой службы" для распространения вредоносного ПО. Эта новая угроза, идентифицированная как работа группы TA544, которая специализируется на целевых атаках с помощью фишинга и социальной инженерии и известна распространением вредоносной программы Gozi Ursnif, направлена на внедрение вредоносной программы Danabot на устройства жертв с целью получения несанкционированного доступа к конфиденциальным данным.
Кампания Danabot
Кампания привлекает жертв тем, что электронное письмо представляется письмом от Службы внутренних доходов и, как уже наблюдалось в предыдущих кампаниях, предлагает им перейти по ссылке в теле сообщения, чтобы загрузить документ, необходимый для проверки несоответствий, возникших за квартал 2024 года.
В действительности загружаемый документ представляет собой вредоносный JS-файл, цель которого - загрузить DLL-библиотеку Danabot по новому url-адресу и выполнить ее:
Danabot - это вредоносная программа, принадлежащая к семейству infostealer, распространяемая как сервис (MaaS) и предоставляющая преступникам возможность настраивать ее под свои конкретные цели. До сих пор она никогда не была обнаружена в Италии.
Помимо кражи финансовых данных и учетных данных из браузеров и VPN-клиентов, при анализе этого образца была замечена функция экспорта модуля webinject (winjConfig), аналогичная той, что использовалась предшественником Trickbot и еще раньше ZeuS.
В выявленный список вошли URL-адреса 20 итальянских банков. Это модуль, способный динамически изменять содержимое страниц, внедряя JavaScript-код, чтобы изменить форму аутентификации, когда жертва посещает один из URL-адресов в списке с помощью браузера.
Indicators of Compromise
IPv4
- 195.133.88.98
- 31.41.244.38
- 91.201.67.85
Domains
- soundata.top
- soundbase.top
- soundline.top
URLs
- http://193.236.79.44/elenco/
- http://hotweazel.com/elenco
- http://sev1-thaihometown.com/elenco/
- http://soundata.top/resources.dll
- http://soundbase.top/resources.dll
- http://soundline.top/resources.dll
- https://agwmtehr.page.link/MX68vywi1N7geeY67
- https://bajsvkzv.page.link/pDh3K11aWeNLcXjc6
- https://exbafnoh.page.link/S92cH79xGfJMWZSB7
- https://fdhyuytm.page.link/cw4D45feZpRsaqSY7
- https://fidelizza.desarrollojm.com/elenco/
- https://gbqlzjhl.page.link/eUPTsqbn5zzprFo9A
- https://grivdbnm.page.link/SzLSuytaBTr7dH1x8
- https://guvencecelik.com/elenco
- https://icxfekqb.page.link/EEq7uVM6AQQzR9Cj8
- https://ivoazrif.page.link/jNHN1Lg7YC1q2Jk87
- https://kdahfayp.page.link/FG32rm3xKtkNHfc88
- https://larcurae.com.br/elenco/
- https://lotussystem.com.br/elenco/
- https://moravalero.cl/elenco/
- https://novak-home.com/elenco/index
- https://nvicepaz.page.link/tGdz88DQAxqoDNAG7
- https://nxptwapj.page.link/yLMpBD3deE1ZKF4Y9
- https://nytcuhkg.page.link/F8AEHGW4pHoHwBwA9
- https://rqnidbtw.page.link/nane6tTRWBQr5tmy7
- https://vlmivtir.page.link/6PKL39G7FQct3YWb9
- https://vnrhxvru.page.link/m4iq5ykMfYDJPTtG6
- https://votre-futur-site.com/elenco/
- https://www.janisthaaivf.com/elenco/
MD5
- 13d6255674b0b31b9d6fd5d62d3bb850
- 308d5e6431219aab0394091a2ffb8286
- 8c9f9fd0daf49cb8c959425cb6246ec0
- c9a65bbac76907ed0233ce89d51b82d0
- f91ce30ad7a3cdc35a7bb9bf619a6b9b
SHA1
- 05e93bde2b935f0deeea5080692e82cb1569600b
- 1d1c81c8ae7fc88ae2e792bf2e835f130585d76f
- 266e8bd451bfce9617679a2f30f373ec198dea88
- 3305fd65056cfc114c98f870dfd75097b572c05d
- e2ce820e8413ba15ade2fd71d1644a32ea44b892
SHA256
- 0bf85e0c57bc233a65646fb6a0224c678f3fb12c3c2464f4cfa02c27bed03312
- 26a2e7d672df65a60108a4e2dfd1bd2b68b415280258bafe75196667689eada1
- 445345c3ea4affeb768fa2820773e05911e3b3474070376e6873cafb44a0437a
- f165807054e5690aa12693279fb5862b64dc8476624a996044c621aac90474bc
- f87bc259be26aca1acf0c63c5d521427191aece6f7975ac114b3ce0b96dd08c2