Tra le campagne malware individuate dal CERT-AGID in settimana spicca la campagna italiana del ransomware Knight la prima dal 2017 ad essere veicolata direttamente via e-mail senza l’ausilio di malware intermediari.
La falsa fattura
Il messaggio di posta elettronica con mittente una società italiana e oggetto “cambio di conto bancario fraudolento” inviterebbe l’interlocutore a prendere visione del documento allegato denominato “fatture_<dominio-email>_allegato.html“.
L’allegato HTML una volta aperto mostrerebbe così con una immagine sbiadita un documento Word con un popup Outlook che invita a scaricare ed aprire un documento, in realtà un file ZIP denominato “Fatture-Urgenti-e-Richiesta-Pagamento.zip” all’interno del quale sono contenuti 2 file .XLL e 3 .LNK.
La catena d’infezione
Qualunque dei 5 file una volta aperti daranno inizio alla catena di infezione che porta all’esecuzione del ransomware Knight con la cifratura dei file rinominati successivamente con estensione .knight_l.
Per scaricare l’eseguibile mentre i tre file .LNK fanno uso di powershell e del processo explorer, i due file .XLL utilizzano un componente aggiuntivo .NET in essi integrato.
La nota del riscatto
Gli esperti del CERT-AGID precisano inoltre nel loro rapporto che la pagina web di riscatto presente sulla rete TOR chiede alle vittime di inoltrare i dettagli della transazione fatta in Bitcoin ad un indirizzo e-mail e quindi di restare in attesa. Fornendo l’ID della transazione, potrebbe inoltre essere possibile testare in anteprima l’efficacia del decryptor.
Nessuna vittima ancora rivendicata
Il sito dataleak di Knight al momento non espone ancora vittime, ma annuncia che la gang starebbe reclutando nuovi partner fornendo i dettagli di contatto.
“L’invio di ransomware tramite e-mail fa pensare ad attori opportunistici“, conclude il CERT-AGID, “ma qualora il fenomeno dovesse rinascere potrebbe complicare notevolmente il panorama italiano.”.
Il CERT-AGID si riserva di fornire prossimamente ulteriori dettagli di analisi.