Descrizione e potenziali impatti

È stata rilevata una campagna di distribuzione del trojan PikaBot tramite e-mail con riferimenti a comunicazioni pregresse (Figura 1).

Il corpo del messaggio, scritto in lingua italiana, invita la potenziale vittima ad agire su un archivio .ZIP allegato contenente uno script .JS che, qualora aperto, inizializza la catena di infezione (Figura 2).

Nel dettaglio, il codice malevolo prevede l’esecuzione di più comandi, utilizzando utility di sistema Windows lecite quali WScript.exe, cmd.exe e curl.exe. Tali comandi sono utilizzati per creare directory e prelevare file malevoli da server remoti al fine di eseguirli sul sistema interessato.

Tra le principali peculiarità del trojan si evidenziano:

• l’utilizzo di una struttura di directory fortemente annidata nella quale storicizzare l’eseguibile prelevato, nel tentativo di garantire la persistenza dello stesso sul sistema ed eludere i meccanismi di rilevamento;
• la modifica della chiave di registro “ProxyBypass” in “HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap” nel tentativo di aggirare le impostazioni del proxy di sistema e perpetrare connessioni verso risorse malevole.

Azioni di mitigazione

Gli utenti e le organizzazioni dovrebbero prestare attenzione al comportamento evidenziato da questa tipologia di malware, monitorando eventuali modifiche del registro di sistema effettuate da processi sospetti e il relativo traffico di rete.

Inoltre, possono far fronte a questa tipologia di attacchi verificando scrupolosamente le comunicazioni ricevute e attivando le seguenti misure aggiuntive:

• fornire periodiche sessioni di formazione finalizzate a riconoscere il phishing; diffidando da e-mail inattese e/o contenenti allegati con all’interno file eseguibili (vbs, ps1, js, exe, bat, ecc.)
• verificare scrupolosamente i mittenti delle comunicazioni ricevute e la relativa attendibilità;
• evitare di eseguire manualmente istruzioni fornite sorgenti di dubbia provenienza e contattare il proprio comparto IT in caso di problemi/errori di carattere informatico.

Infine, si raccomanda di valutare l’implementazione – sui propri apparati di sicurezza – degli Indicatori di Compromissione (IoC)¹ forniti in allegato.

¹ Per definizione, non tutti gli indicatori di compromissione sono malevoli. Questo CSIRT non ha alcuna responsabilità per l’attuazione di eventuali azioni proattive (es. inserimento degli IoC in blocklist) relative agli indicatori forniti. Le informazioni contenute in questo documento rappresentano la migliore comprensione della minaccia al momento del rilascio.