giovedì 2 aprile 2020

Ancora Ursnif: campagna di email di spam contro utenti italiani


Il Cert-PA ha diramato un nuovo alert riguardante l'ennesima campagna di email di spam rivolta contro utenti italiani: anche in questo caso, come ormai da molto tempo, le email veicolano il malware Ursnif. 

Lo schema è quello classico: una voluminosa massa di email di spam viene inviata tramite account compromessi. Gli utenti ricevono una email avente, come oggetto, "Invio fattura". Il testo più che italiano corretto, appare una traduzione da altra lingua: invita a scaricare l'allegato per poter visualizzare "le procedure di sicurezza da attuare in fase di consegna della merce".  Il riferimento è chiaramente alle modalità di protezione e riduzione del contagio attualmente in atto in tutto il territorio italiano per l'emergenza Covid-19.

Fonte: Cert-PA

Un'ulteriore conferma, specifica il Cert-PA, viene dall'analisi di un'altra email, anch'essa diffusa con un'ampia campagna di spam, che riporta lo stesso allegato con testo diverso. In questo caso l'oggetto riporta esplicitamente "Invio COPIA Ordine/Fattura: Procedure x Coronavirus".

Fonte: Cert-PA


Qualche dettaglio tecnico
Il file è un allegato Excel in formato XLS. Una volta aperto, esegue uno script Powershell, responsabile della compromissione del sistema col malware Urnsif. Il codice  è coperto con qualche livello di offuscamento, evidentemente per ridurre i rischi di individuazione da parte delle soluzioni antimalware e di sicurezza: stando a quanto riportato da VirusTotal comunque, la maggior parte delle soluzioni di sicurezza è in grado di individuare come dannoso l'allegato presente in queste email.

Ursnif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).

Nessun commento:

Posta un commento