Si chiama DMOSK il malware individuato da Yoroi che sta mettendo a rischio gli indirizzi IP di numerose aziende italiane.
Si tratta di una pericolosa campagna che si diffonde tramite email fraudolente appositamente create per simulare la condivisione di un documento tramite la piattaforma Google Drive ma che reindirizza l’utente verso destinazioni malevole.
Ad oggi Yoroi ha rilevato 6.617 indirizzi email che potrebbero essere compromessi da momento in cui hanno cliccato sull’Url malevola.
Nel dettaglio, le comunicazioni fraudolente contengono un link a un sito di distribuzione malware collegato a servizi di Content Distribution di CloudFlare. Una volta cliccato, dal collegamento si scarica un “archivio personalizzato” contenente uno script “.jse” in grado di infettare l’host vittima. Il malware individuato è riconducibile alla famiglia Gozi/Ursnif: minaccia in grado di trafugare dati, fornire un accesso backdoor all'attaccante, intercettare digitazioni e attività utente (e.g. attività su portali web).
La campagna di attacco risulta di particolare rilievo in quanto inganna l’utente proponendo un link verso servizi noti e nel contempo sfrutta la buona reputazione degli indirizzi di rete della CDN CloudFlare.
L’analisi effettuata da Yoroi ha potuto rilevare i contenuti dell’attacco e i dettagli sulle prime vittime colpite.
Gli analisti di Yoroi hanno scoperto che l’attaccante ha dimenticato il LOG.TXT scaricabile dall’URL di innesco della minaccia e da questo sono riusciti a risalire agli indirizzi IP che hanno cliccato sull’url che costituisce la prima fase dell’attacco. Dagli indirizzi IP è poi possibile risalire alle aziende che potrebbero essere state infettate, che Yoroi sta provvedendo a informare direttamente e tramite la notifica della minaccia ai CERT nazionali.
