giovedì 5 dicembre 2019

Urnsif scatenato: seconda campagna contro utenti italiani e pubblica amministrazione


A neppure un giorno di distanza dal primo alert (ne abbiamo parlato qui) il Cert-PA lancia un secondo allarme relativo, anch'esso, a una massiva campagna di distribuzione del trojan infostealer Ursnif contro utenti italiani. Questa campagna, attualmente in corso e affiancata a quella già descritta ieri, non mira soltanto alla pubblica amministrazione, ma anche ad utenze private. La versione di Ursnif in distribuzione non si limita solo al furto di dati, ma installa anche una backdoor sul sistema infetto garantendo all'attaccante sia di accedere al sistema in qualsiasi momento (magari anche a distanza di mesi dall'infezione) sia di intercettare tutte le battiture sulla tastiera e le azioni dell'utente. 

Il Cert-Pa ha pubblicato una lista indicativa degli oggetti email di questa campagna: 
  • Sollecito pagamento
  • Sollecito di pagamento effetti
  • sollecito pagamento nostre fatture n. XXXX e XXXX  (con X = numero casuale)
  • FATTURE_(vendite)
  • pagamento provvigioni

Tutte le email allegano un file .xls recante nomi diversi, ma contenenti tutti la stessa macro dannosa.
Alcuni nomi degli allegati sono:
  • FATT richiesta del DD/MM/YYYY XXXXX.xls
  • copia_FT_del_DD_MM_YYYY_XXXX.xls
  • pagamento_FATT_richiesta_del DD-MM-YYYY_XXXXX.xls
    (con X = numero casuale, DD=giorno, MM=mese, YYYY=anno)

Sotto un esempio di email dannosa, rilevata 3 giorni fa, il 2 Dicembre:


Gli indirizzi email dei mittenti sono indirizzi "spoofati", ovvero con identità reale camuffata e mittenti inesistenti. 

L'avvio della catena di infezione
La catena di infezione si avvia soltanto se l'utente abilita la macro dannosa contenuta nel file .XLS presente nell'allegato. Una volta avviata, la macro scarica ed esegue uno script Powershell altamente offuscato. Una volta deoffuscato, gli analisti del Cert-PA hanno potuto verificare come il codice contenga una serie di domini dannosi che vengono contattati per proseguire l'infezione. Eccone la lista:

readmebook[.]fun
asistenzaonliine[.]com
helpabout[.]pw
asistenzaonline[.]pw
asistenzaonlinu[.]red
redxyzred[.]xyz
newsitalybiz[.]club
genzleentr[.]host
armanidesk[.]xyz
agenziadelleentr[.]pw

La campagna di spam sembra indirizzata principalmente verso utenze relative a società private e privati cittadini: solo in minima parte mira a strutture della pubblica amministrazione.

Nessun commento:

Posta un commento