Grazie alla nostra tecnologia ThreatSeeker®, è stato possibile rilevare un dominio che crediamo possa essere coinvolto in una campagna di spear phishing contro gli utenti del servizio online Rotary Club. Il Rotary Club (chiamato anche Rotary International) è un’organizzazione che offre servizi umanitari, incoraggia elevati standard etici in ogni professione e promuove iniziative di beneficienza. Da quando il Rotary Club è diventata un’organizzazione internazionale, ogni Paese ha un numero di “club” locali per ogni regione ed è stato fondato anche il servizio online “Rotary eClub”. In particolare, abbiamo scoperto un altro tentativo di exploit della vulnerabilità Internet Explorer CVE-2012-4792, che è stata individuata in un attacco “water holing” contro il sito Internet del Consiglio delle Relazioni Estere USA (http://www.cfr.org). I risultati della nostra analisi concordano con quanto riportato in questo blog: apparentemente un’altra campagna mondiale contro diverse organizzazioni che in qualche modo hanno attirato l’attenzione di cyber criminali a causa degli utenti specifici dei propri siti. In questa prima parte di analisi, riporteremo la nostra indagine nei codici offuscati e in quelli di exploit individuati. Nella seconda parte, presenteremo l’analisi di un meccanismo insolito implementato nello shellcode che esegue il malware installato, se l’exploit ha avuto successo. Inoltre, analizzeremo il comportamento del malware e spiegheremo alcuni dettagli dietro i domini coinvolti e l’infrastruttura di questo attacco. Il dominio sospetto nella nostra analisi è "rotary-eclubtw.com", che è stato apparentemente registrato per colpire gli utenti Taiwanesi del servizio Rotary eClub.
