Campagna Ursnif indirizzata ai comuni italiani

03/12/2019

ursnif

Il CERT-PA ha avuto evidenze di una campagna Ursnif, attualmente in corso, indirizzata ad una corposa lista di comuni italiani.

Come è possibile osservare dallo screenshot, si invita l’utente ad utilizzare la password riportata nel corpo del messaggio per visionare il documento contenuto nell’allegato compresso. Una volta estratto il file ZIP, l’utente si trova di fronte un file DOC contenente una macro malevola artefice dell’infezione.

È interessante notare che nella fase di compromissione la macro provvede a scaricare un file di tipo XML, opportunamente rinominato in XLS, contenente codice javascript da eseguire tramite WMIC.

Nel codice riportato in chiaro, è visibile la funzione che si occupa di individuare la tipologia di macchina compromessa; ovvero cerca di rilevare se la macchina Windows è parte di una rete aziendale oppure no. A tal proposito, per assicurarsi che il PC compromesso sia aziendale, verifica che il nome macchina sia diverso dal nome dominio. Se la condizione è soddisfatta procede al download di un file con estensione .cabz, viceversa scarica un file .cab. In entrambi i casi trattasi di file di tipo PE leggermente differenti le cui analisi sono attualmente in corso.

Ulteriori conferme relative al target (pubblico) provengono dalla segnalazione twitter di JamesWT e dal contributo alle analisi da parte di ricercatori indipendenti che confermano il traffico network effettuato da Ursnif relativamente alla campagna odierna. Al momento il CERT-PA non ha evidenza della diffusione di Ursnif verso target privati.

Indicatori di Compromissione

  • IoC (.txt) – Hash, Domini
  • Hashr (.txt) – SHA256
Taggato  ursnif