Campagna ursnif italiana

27/07/2018

italia malware ursnif
Il CERT-PA ha avuto modo di osservare e di analizzare una campagna di malspam indirizzata ad Enti Pubblici (e potenzialmente anche ad utenze private), per veicolare il famigerato malware bancario conosciuto come Ursnif.
 
La mail sembra provenire da un account PEC afferente il dominio “istruzione.it”, ma da una analisi più
dettagliata si nota chiaramente che i criminali hanno utilizzato tecniche di “spoofing“ per rendere più
credibile la campagna. 
 
Di seguito uno screenshot di come si presenta una mail tipo: 
 
 
Nel caso specifico è stato sfruttato l’evento “PugliArmonica”, svoltosi nel mese di maggio, per simulare
l’inoltro di documenti da parte di una pubblica amministrazione.
In realtà, l’analisi degli headers mostra chiaramente che la mail è stata inviata da un server localizzato in
Giappone con indirizzo IP: 114.168.50.117 che risulta censito su diverse blacklist per via delle recenti
attività malevole. 
 
Nel corpo della mail, scritto in lingua italiana, si invita l’utente a visionare il documento in allegato: un file
.doc contenente una macro malevola. Facendo leva sul fatto che il documento è stato generato con una
versione di MS Office precedente a quella in uso dalla vittima, l’utente viene invitato ad abilitare la macro
per proseguire con la visualizzazione del documento.
 
Gli approfondimenti sull’analisi del malware e relativi indicatori di compromissione sono disponibili nel bollettino CERT-PA-B005-180727 scaricabile dall’apposita sezione (previa registrazione).