martedì 10 dicembre 2019

Ben tre campagne malware in corso contro utenti italiani: ransomware e trojan all'attacco


Non c'è pace per l'Italia: già ieri abbiamo reso notizia di una, ennesima, campagna di distribuzione del ransomware FTCode tramite circuito PEC. Questa è ancora in corso, ma già si sono affiancate a questa attività dannosa addirittura altre due campagne, una per distribuire il malware Emotet e una per il trojan bancario Ursnif. 

1. Campagna di distribuzione Emotet
Emotet viene diffuso tramite email di spam: le email hanno vario argomento, ma sono tutte accomunate dal cercare di indurre un certo senso di urgenza nella potenziale vittima, così da renderla meno attenta e prudente. Le email contengono poco testo e un link che riconduce ad un file Word compromesso: questo infatti contiene una macro dannosa che, se abilitata, scarica ed esegue il malware Emotet. 

Fonte: https://www.cert-pa.it/

Era da qualche mese che Emotet non calcava le scene: dopo un lungo periodo di silenzio, nel Settembre di quest'anno la botnet relativa si è riattivata, ma non ha registrato molte infezioni in Italia. Al contrario ha registrato impressionanti picchi di distribuzione e infezioni negli Stati Uniti, tanto da indurre il CERT-USA a diramare uno specifico avviso di sicurezza, data anche la pericolosità stessa del malware. La campagna individuata ieri  è invece rivolta specificatamente contro utenti italiani. 

Emotet in breve:
Emotet è un trojan bancario polimorfico capace di evadere l'individuazione basata su firma. E' dotato di molteplici metodi per il mantenimento della persistenza, incluso l'auto avvio di servizi e chiavi di registro. Usa librerie DLL modulari per evolvere e aggiornare continuamente le proprie capacità. Inoltre è dotato di strumenti di individuazione delle macchine virtuali e può generare falsi indicatori qualora venga avviato in un ambiente virtuale. 


2. Campagna di distribuzione Ursnif con false fatture DHL
La terza campagna attualmente in corso in Italia distribuisce invece, ancora una volta, il trojan bancario e per il furto dati Ursnif. E' la terza campagna di distribuzione di Urnsif, rivolta contro utenti italiani, solo da inizio Dicembre. Le email vettore sono false fatture DHL, indirizzate a pubbliche amministrazioni ma anche a privati. Contengono due allegati, un documento XLS e un PDF. In dettaglio:
  • 09122019_100348_1_001.pdf
  • MIL0001772313.xls

Il PDF è organizzato per emulare in tutto e per tutto una fattura legittima DHL, compreso il logo ufficiale dell'azienda. 

Fonte: https://www.cert-pa.it/

Il testo sollecita il pagamento di una fantomatica fattura non soluta, ma il PDF di per sé non mostra comportamenti dannosi. E'invece il file XLS il vero responsabile dell'avvio della catena di infezione. 

Anche in questo caso l'utente viene indotto ad attivare la macro, che avvia lo script dannoso (che agisce solo su sistemi Windows). Prima di procedere all'infezione del sistema, lo script esegue alcune verifiche volte ad accertarsi che il target sia effettivamente italiano, ad esempio tramite verifica della lingua impostata sul sistema. 

Se il target è corretto, lo script esegue un altro script powershell composto assemblando vari "pezzi" che sono presenti in varie celle del documento Excel: avviene quindi il download e l'installazione di Ursnif. 

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB.  E' già stato usato molteplici volte contro utenti italiani. 

Nessun commento:

Posta un commento