MalSpam Taglia di € 5.000 installa software di controllo remoto
Una nuova campagna di malware è attualmente in diffusione in Italia e sembra offrire una taglia di 5 mila euro in cambio di informazioni su una persona menzionata nella e-mail, in realtà si tratta di una campagna di malspam atta ad installare il software Atera RMM (Remote Monitoring Management).
La campagna è al momento indirizzata a pubblici uffici e inviata in prevalenza a indirizzi PEC di questi enti, offre una taglia di cinque mila euro in cambio di informazioni concrete per individuare un soggetto di cui viene fornito il nominativo, data di nascita, residenza e luogo di lavoro. Viene inoltre fornita una carta di identità del soggetto incriminato disponibile mediante un link riportato nel testo della email.
Selezionando tale link si procede a scaricare un file denominato CARTA_IDENTITA.rtf, tale file in realtà non contiene alcun documento di identità ma uno script Visual Basic Script che dovrebbe procedere ad installare in maniera silente il software di controllo remoto e a mostrare la carta di identità del soggetto citato nella email.
Cliccando su CARTA_IDENTITA.vbe dovrebbe avviarsi la procedura, designata dal criminale, di installazione del software di controllo remoto, ma tale procedura richiede la presenza della directory c:\temp\ che di default non è presente nei sistemi Windows, lo script non procede a creare tale directory temporanea ma prevede che sia già presente. Tale directory potrebbe già essere presente nel sistema operativo della vittima se creata in precedenza da altri software ma se non fosse presente lo script termina vanificando ogni sforzo del criminale.
Di seguito lo screenshot del messaggio di errore qualora tale directory temporanea non sia presente nel sistema Windows in uso dalla vittima.
Qualora invece la directory fosse presente lo script, di cui vi mostriamo di seguito uno screenshot in versione de-offuscata, procede a scaricare il PDF del documento del soggetto e a installare in background il software di controllo remoto.
La particolarità di questa campagna è sicuramente l’utilizzo del software lecito Atera RMM (Remote Monitoring Management) per la gestione remota delle vittime, usualmente i criminali sfruttano un VBScript per eseguire e scaricare un malware da loro prodotto o acquistato e non un software lecito. In questo caso invece è stata scelta l’opzione di scrivere un VBScript (seppur con degli errori) e poi di affidarsi ad una autorevole software house che vende un software di controllo remoto per assistenza remota.
Atera produce un agent (file di installazione) .MSI differente per ogni utente, per questa campagna denominato Rastaf.msi, che contiene l’email del registrante al loro servizio. Questo dettaglio permette alle API di Atera di associare la nuova installazione all’opportuno account e quindi mostrare nel pannello di controllo online che è disponibile per l’assistenza remota un nuovo computer.
Di seguito vediamo uno screenshot esplicativo dell’area clienti di Atera dove è possibile vedere la nostra SandBox USER-PC pronta per essere controllata remotamente.
Analizzando il file di installazione dell’agent di Atera è possibile identificare l’account associato al servizio di controllo remoto, che risulta essere: [email protected].
“C:\Program Files\ATERA Networks\AteraAgent\AteraAgent.exe” /i /IntegratorLogin=”[email protected]” /CompanyId=”3″ /IntegratorLoginUI=”” /CompanyIdUI=”” /FolderId=”” /AccountId=”0013z00002fKWRpAAO”
Lo script è inoltre in grado di installare Splashtop, un altro software di controllo remoto, ma nella versione da noi analizzata questa procedura non sembra essere sfruttata.
Invitiamo pertanto gli utenti ad ignorare tale email qualora dovessero riceverla; ci teniamo inoltre a ringraziare Daniele Margotti dell’Unione dei Comuni della Bassa Romagna per questa segnalazione.
Di seguito riportiamo i principali Indicatori di Compromissione:
- CARTA_IDENTITA.rtf 0c9dfa5c8cf346c75da3972b4b80fdab
- CARTA_IDENTITA.vbe df5e3823543141aee816047e93c5c21c
- Rastaf.msi f57d46fd5b1a3c907d040dd6aa6848bb
- rinaldomattei.firstcloudit[.]com