L'alert del Cert-PA è di ieri pomeriggio: è stata individuata una campagna di email di spam, anche tramite circuito PEC, che distribuisce ai comuni italiani il trojan bancario e per il furto di credenziali Ursnif.
L'email vettore è piuttosto scarna: indirizzata ad una corposa lista di comuni italiani, invita al download di un archivio .ZIP e alla visualizzazione del contenuto tramite l'uso di una password allegata nel testo stesso. Una volta scaricato l'archivio ed estratto il contenuto, l'utente si trova a visualizzare un file .DOC contenente una macro dannosa, responsabile dell'avvio dell'infezione. L'infezione si avvia all'attivazione della macro. Durante la fase di compromissione, la macro scarica anche un file di tipo XML, ma rinominato in XLS: questo contiene codice Javascript da eseguire tramite l'utility WMI command-line (WMIC).
Fonte: https://www.cert-pa.it |
Il codice è pesantemente offuscato, ma, nella versione in chiaro, è piuttosto semplice scovare una particolare funzione, che si occupa di individuare la tipologia di macchina compromessa: anzitutto se la macchina esegua o meno Windows, quindi se faccia parte o meno di una rete aziendale. Per assicurarsi che il PC compromesso sia aziendale, il malware esegue anche una ulteriore analisi, verificando che il nome della macchina sia diverso dal nome del dominio. Se questa condizione è vera, si procede al download di un file in estensione .cabz, altrimenti scaricherà un file .cab. Su questi due file il CERT-PA sta tutt'ora procedendo ad analisi.
Riscontri dell'infezione arrivano anche dal ricercatore di sicurezza indipendente JamesWt, che in questo tweet, ha pubblicato un altro esempio di email vettore.
Fonte: https://twitter.com/JAMESWT_MHT |
Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online). Questa famiglia di malware è sotto attento studio da parte della comunità dei ricercatori informatici da tempo: le analisi su attacchi reali hanno indicato che si diffonde non solo via email, ma anche tramite dispositivi removibili e chiavette USB. E' già stato usato molteplici volte contro utenti italiani.
Per approfondire >> Ursnif, il malware che minaccia l'Italia: vediamolo da vicino
Nessun commento:
Posta un commento