Il Computer Security Incident Response Team (CSIRT) da notizia di una serie di ondate di spam rivolte contro utenti italiani a fini di furto dati (phishing) e per la distribuzione del malware Ursnif. Le email utilizzate per la campagna, pur diverse, simulano comunicazioni ufficiali da parte dell'Agenzia delle Entrate.
La campagna del 30 Giugno
Il primo alert dello CSIRT risale al 30 Giugno, ma la campagna è ancora in corso con nuovi vettori di attacco tantochè gli indicatori di compromissione sono stati aggiornati il 7 Luglio.
L'email utilizzata, visibile sotto, simula una comunicazione ufficiale dell'Agenzia delle Entrate, con tanto di loghi e riferimenti legali in apparenza piuttosto precisi: nell'oggetto si fa riferimento ad una (falsa ovviamente) necessità di verifica della conformità di alcuni pagamenti. In altre versioni invece la comunicazione sembra provenire direttamente dal Direttore dell'Ente.
Fonte: https://csirt.gov.it/ |
Lo schema di infezione è classico e scontato: l'email contiene un archivio .zip. Questo archivio contiene a sua volta un documento Microsoft Excel in formato XLS. Entro il documento .XLS c'è una macro VBA la cui attivazione avvia l'infezione. Abilitare la macro infatti comporta l'esecuzione di codice PowreShell finalizzato al download da domini remoti dei payload di Ursnif.
- Qui sono disponibili gli indicatori di compromissione 7 Giugno
- Qui sono disponibili gli indicatori di compromissione 30 Giugno
La campagna dell'8 Luglio
Ieri lo CSIRT ha diramato un nuovo alert riguardante un'altra campagna di phishing a tema Agenzia delle Entrate che veicola ancora il malware Ursnif. E' molto simile ad una delle versioni della campagna precedentemente descritta: una falsa comunicazione del Direttore dell'Agenzia delle Entrate chiede riscontri sulla conformità di alcuni pagamenti. L'oggetto è "IL DIRETTORE DELL'AGENZIA DELLE ENTRATE XXXXXXXX", con un numero identificativo finale.
Fonte: https://csirt.gov.it/ |
Anche in questo caso l'email contiene un file Excel che richiede l'abilitazione della macro VBA per la corretta visualizzazione. La macro, se abilitata, avvia l'esecuzione di codice PowerShell che porta al download del payload di Urnsif.
- Qui sono disponibili gli indicatori di compromissione
Urnsif in breve:
Con Ursnif si indica una famiglia di trojan pensati per rubare informazioni personali e dati relativi alla macchina e al sistema operativo della vittima. Questi dati vengono raccolti e inviati al server di comando e controllo gestito dagli attaccanti. Spesso installa anche backdoor sul sistema infetto, così da garantire all'attaccante la possibilità di eseguire comandi da remoto per svolgere ulteriori attività dannose. Mira sopratutto alle credenziali bancarie/finanziarie e agli accessi su vari tipi di account (social, email o di vari servizi online).
Per approfondire > Ursnif, il malware che minaccia l'Italia: vediamolo da vicino
Nessun commento:
Posta un commento