Campagna di attacco a danno di utenti italiani basata sul malware Ursnif

25/09/2018

italia malware steganografia ursnif
Dalle attività di monitoraggio e condivisione di informazione, il CERT-PA ha rilevato nella giornata di ieri una campagna di malspam indirizzata ad utenti ed organizzazioni italiane.
 
Gli attacchi utilizzano messaggi di posta in riferimento a fatture e documenti fittizi che invitano gli utenti all’apertura del foglio di lavoro Excel in allegato. Di seguito un esempio del messaggio malevolo:
 
L’eventuale apertura del documento .xls attiva l’esecuzione di macro malevola in grado di lanciare una successione di comandi di sistema volti a scaricare un malware della famiglia Trojan/Ursnif, minaccia nota per trafugare dati, fornire accesso backdoor ed intercettare l’attività dell’utente.
La pericolosità della ondata di attacco risiede nelle particolari modalità di scaricamento del malware  e nella catena di comandi che risulta una variazione, con tecniche aggiuntive, di quella utilizzata nella “Campagna di malspam con finti riferimenti e contenuti di sentenze legali“, come riportate nel dettaglio analisi malware (aggiornamento del 6 agosto 2018).
 
Una delle tecniche utilizzate riguarda ancora una volta la steganografia, nel caso in oggetto utilizzata per il recupero di codice malevolo tramite i valori dei pixel delle prime tre righe dell’immagine di seguito rappresentata (e oscurata):
A seguire il codice estratto dall’immagine e deoffuscato, utilizzato durante il ciclo di infezione per effettuare controlli sulla nazionalità delle vittime e scaricare l’eseguibile malevolo (note.exe):
 
Le tecniche utilizzate nell’attacco sono mirate ad aumentare la capacità di diffusione del malware, tentando di eludere i sistemi di sicurezza perimetrale. Si rileva inoltre come gli autori mirino esclusivamente a colpire sistemi, basati su Microsoft Windows, che utilizzano impostazioni in lingua italiana.

 
 
La campagna in oggetto è stata rilevata ed analizzata anche dai ricercatori di Yoroi che tramite l’avviso N050918 rilevano i seguenti indicatori di compromissione:
 
Malspam:
        Allegato:
            “fatt F n.<5-CIFRE>  2018.xls”
            “fatt F n.70254 2018.xls”
            “3Dfatt F n.18620 2018.xls”
        Oggetto:
            “R: Fattura”
            “INVIO CONFERMA N.<3-CIFRE> x ORDINE MAIL DEL 24/09/18”
            “Invio documenti”
            “PREVENTIVO”
            “Spett.le .- rif. <3-CIFRE> del 24.09.2018”
 
Dropurl (steganografia):
        hxxps:// images2.imgbox[.com/36/b6/FP0V28Vz_o.png
 
Dropurl (exe):
        hxxps:// printpaint[.us/html
 
C2 (ursnif):
        hxxp:// 109.230.199[.237/images/
        109.230.199[.237
        f582e064be47[.com
 
Hash:
        ffc6dbd48ab7779a6443b71bc886f1807a565567967244101935afba9613b3dd  png

 

Aggiuntivi indicatori di compromissione correlati al malware Urnif e all’infrastruttura malware
Dalle analisi condotte sul malware note.exe il CERT-PA ha rilevato aggiuntivi indirizzi IP che vengono contattati al completamento della catena di infezione. Tali IP risultano strettamente connessi al malware Ursnif. Di seguito, in riferimento al mese corrente, si riportano gli IoC di Ursnif associati agli indirizzi IP rilevati:
 
  • IoC 31.214.157[.]60 (.txt)
  • IoC 109.230.199[.]237 (.txt)
  • IoC 193.242.211[.]163 (.txt)