martedì 19 febbraio 2019

Attacco in corso contro aziende italiane: i vettori sono archivi cifrati


I ricercatori di sicurezza del CERT-PA hanno lanciato un allarme relativo ad una campagna di attacco in corso, da qualche giorno, in maniera specifica contro aziende e organizzazioni italiane. Il modus operandi è davvero insidioso: gli attaccanti sfruttano scambi email realmente intercorsi tra le vittime e, come indirizzi mittenti, delle email infette. Un meccanismo già noto in realtà, poiché già rilevato in precedenti campagne che, nel corso del 2018, hanno diffuso il malware infostealer Ursnif. 

Le email fake
Le email di questa campagna sono contraddistinte dalla presenza di allegati compressi protetti da password: all'interno di questi archivi sono inseriti documenti dannosi che contengono, entro una macro integrata, script PowerShell che avviano il download e l'esecuzione del trojan Ursnif sul sistema bersaglio.  Questa è una tecnica niente affatto nuovo, ma molto efficace per nascondere i documenti dannosi ai software e alle varie misure di sicurezza aziendali (controlli perimetrali in primis). 

Le email recano, in oggetto, 
  • Re: <OGGETTO DI CONVERSAZIONE PRECEDENTE>

oppure
  • “Avviso di Pagamento”
  • “Fattura Corretta”
  • “Scaduto 21782”
  • “I:_Obbligo_fatturazione_dal_1°_Febbraio_2019”
  • “fattura in scadenza”
  • “Avv. Scad.”
  • “Fatt. 1471 del 12-02-2019”

Non c'è invece, come detto, uno o più mittenti da "denunciare" come responsabili di questa campagna: il mittente infatti sarà un indirizzo già noto ai destinatari, col quale i destinatari stessi avranno già intrattenuto degli scambi email. 

Il testo delle email è invece ricorrente e molto breve: sotto ne indichiamo due a titolo esemplificativo.  




Gli allegati sono in formato .xls e contengono una macro dannosa. Il loro nome varia, sotto ne sono riportati 3 esempi:
  • “Ft._immediata_group_*.xls”
  • “Doc_GenFeb_2019_*.xls”
  • “2019_B_*_srl.xls”

La catena di infezione
I documenti contengono, come detto, una macro integrata attivando la quale, si avvia la catena di infezione: essa si compone di una serie di script PowerShell con vari stadi di offuscamento.  Alcuni utilizzano perfino immagini contenenti script steganografati (ne abbiamo già parlato qui) . L'ultimo script esegue il download del payload di Urnisf dall'URL
  • hxxps://delegirato.pro///////////aria-debug-5672.log

Analisi ulteriori del codice del malware hanno ribadito che l'attacco è mirato contro l'Italia, come si può vedere nell'immagine sotto:


Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose.  Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).  Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB.  E' già stato usato molteplici volte contro utenti italiani. 

Nessun commento:

Posta un commento