Questa informativa è il risultato delle analisi condotte dagli analisti Fortgale a seguito dell’identificazione di un’anomalia di sicurezza durante il l’erogazione del servizio Managed Detection & Response (MDR).

Nello specifico, l’anomalia rilevata è associata ad un software di tipo Adware particolarmente invasivo e persistente: ADWARE IsErIk.

Questa minaccia, categorizzata come Advanced Persisten Adware, è spesso mascherata da versioni “portable” di prodotti commerciali o da generatori di chiavi di licenza (keygen) per applicazioni commerciali. In alcuni casi il software richiede all’utente il permesso di installare software aggiuntivo causando l’esecuzione di comandi nella propria macchina.

L’infezione del sistema avviene attraverso la creazione di un task schedulato con il compito di eseguire, tramite WScript, codice Javascript. Durante l’intervento di Incident Response, il nome del task risultava essere \Secured Yahoo Powered nalel utilizzato per l’esecuzione del comando:

C:\Windows\system32\wscript.exe "C:\ProgramData\{38E1FD82-B2A3-7744-3465-XXXXXXX}\tano.txt" "687474XXXXXXX636f6d" "433a5c50XXXXX237363243387d5c726572656669" "433a5c50726XXXXXXXX237363243387d5c7269646f746f64" "//B" "//E:jscript" "--IsErIk"`,

il quale, dopo aver controllato la presenza del parametro --IsErIk decodifica gli altri parametri e si connette al server di comando e controllo (in questo caso all’url hxxps://ddukmql[.]com ed effettua chiamate POST, le cui risposte consistono in ulteriore codice Javascript da eseguire nel sistema compromesso.

Indicatori di Compromissione

SHA256

  • 2b89075ad9485d72bcf6548afaee7ba8d4fa0f77e874d62efd70c9c311dc406d (C:\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\tano.txt)

File Path

  • C:\ProgramData{38E1FD82-B2A3-7744-3465-E906AE2762C8}\tano.txt
  • C:\ProgramData{89F74C94-03B5-C652-8573-58101F31D3DE}\tofi.txt
  • C:\ProgramData{F4723111-7E30-BBD7-F8F6-259562B4AE5B}\rari.txt
  • C:\ProgramData{595E9C3D-D31C-16FB-55DA-88B9CF980377}\fala.txt
  • C:\ProgramData{19B7DCD4-93F5-5612-1533-C8508F71439E}\faso
  • C:\ProgramData{F3BF36DC-79FD-BC1A-FF3B-22586579A996}\doro

Domini

  • ddukmql[.]com
  • katunaq[.]com
  • tdfpa[.]com
  • qajolos[.]com
  • butapujo[.]com
  • rududulu[.]com

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]