Campagna Ursnif in Italia e gli attacchi BEC

21/05/2018

bec malspam malware ursnif
Il malware Ursnif torna a far parlare di se in Italia, non tanto per la tecnologia avanzata ma per l’estrema efficacia dei meccanismi di ingegneria sociale utilizzati per veicolare il malware.
 
Le fasi di attacco
La tecnica utilizzata per colpire il proprio target è nota come Business Email Compromise (BEC) ed ha come target principale le aziende che effettuano frequenti movimenti bancari. L’attacco prevede una fase preliminare in cui i criminali sottraggono le credenziali di accesso delle e-mail aziendali tramite phishing o distribuzione di keylogger.
 
La fase successiva richiede un costante monitoraggio della corrispondenza elettronica tra azienda e fornitori fino ad individuare i messaggi di posta che riguardano trasferimenti finanziari. A quel punto i criminali inviano dall’account di posta compromesso una falsa fattura al destinatario con invito a visionarla. 
 
La finta fattura
La falsa fattura allegata alla mail si presenta curata nei dettagli con loghi e nomi di personale aziendale; lo scopo è quello di rendere credibile il documento e rassicurare la vittima quando apparirà l’avviso di sicurezza di Microsft Word che allerterà l’utente dei potenziali rischi a seguito dell’attivazione della macro.
 
Il documento infatti contiene al suo interno un oggetto OLE malevolo adeguatamente offuscato che una volta attivato provvederà a scaricare direttamente, o in modo indiretto tramite script di tipo JS o PS, il sample da un server remoto. 
 
Le prime analisi dei campioni analizzati sembrano appartenere ad una variante del malware Ursnif, i file vengono scaricati con estensione .class o .yarn al fine di non destare sospetti ma in realtà si tratta di file di tipo Portable Executable (PE) contenente Ursnif.
 
 
I ricercatori di Forcepoint hanno rilevato che i sample analizzati presentano tutti il medesimo timestamp che fa riferimento alla data “17 aprile 2018” e le dimensioni osservate variano dai 700 kb ai 2 MB. Inoltre è stata individuata una componente che fa uso di Mailslot, un meccanismo per la comunicazione tra processi utilizzato in questo contesto per leggere i dati dalla memoria, decomprimerli e riversare l’otuput su “\.mailslotmsl0
 
Alla seguente pagina i ricercatori Forcepoint hanno rilasciato una lunga lista di IoC riguardanti i campioni rilevati e i relativi domini contattati.