Continua la campagna Ursnif veicolata in Italia

italia malware ursnif
Continua la campagna del trojan bancario Ursnif, considerato altamente pericoloso in quanto, come già riportato nelle news del 21-5-2018 e 14-06-2018, è in grado di sottrarre le credenziali di posta elettronica, di piattaforme di cloud storage e siti di e-commerce.
Il malware è attivo almeno dal 2009, come riportato da Microsoft, ma nel corso del tempo si è evoluto e ha migliorato le tecniche di attacco. Recenti studi condotti da CSE Cybsec ZLab, hanno evidenziato la presenza in rete di altri documenti malevoli che utilizzano lo stesso filename pattern (“[NOME_COMPAGNIA_VITTIMA]_Richiesta.doc”) e mostrano la solita schermata con il messaggio “Questo file è stato creato con una versione precedente di Microsoft Office Word”.
Come da copione, per visualizzare il contenuto è necessario fare clic sul pulsante ‘Abilita modifiche’, situato sulla barra gialla in alto e poi cliccare su ‘Abilita contenuto'”.
Dall’analisi dinamica eseguita da CSE Cybsec sul malware, risulta che:
  • i files infetti contattavano domini diversi;
  • ogni documento office conteneva macro diverse, scritte con almeno tre stili di codifica;
  • con il passare dei giorni, i domini non risultavano più raggiungibili. Si ipotizza che gli autori dell’attacco abbiano deciso spontaneamente di disattivare o spostare i domini dopo essersi accorti di essere stati scoperti.
Osservando il comportamento del processo e del traffico network che viene eseguito subito dopo l’apertura del doc, i ricercatori hanno collezionato una nuova serie di repository del malware. Di seguito viene riportato l’elenco dei sample (dropper) analizzati e i relativi domini associati:
Nome del documento dominio IP Hash (MD5)
AdelaideConsulting_Richiesta.doc qwdqwdqwd19.com 151.80.162.223 c97e623145f7b44497b31ef31a39efed
AMLM_Richiesta.doc g94q1w8dqw.com 45.41.80.86 b48f658dbd0ef764778f953e788d38c9
Comune_di_Lequio_Tanaro_Richiesta.doc vqubwduhbsd.com 23.227.201.166 6f571b39fcde69100eb7aec3c0db0a98
ComunediVALDELLATORRE_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 29ca7312b356531f9a7a4c1c8d164bdd
IV_Richiesta.doc wdq9d5q18wd.com 535a4ebb8aef4c3f18d9b68331f4b964
OrdineDeiGiornalisti_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 347ce248b44f2b26adc600356b6e9034
WSGgroup_Richiesta.doc vqubwduhbsd.com 23.227.201.166 3c301ff033cb3f1af0652579ad5bc859
CB_Richiesta.doc fq1qwd8qwd4.com 172.106.170.85 1e8d75b5c93913f0f0e119a9beb533cb

 

Analizzando i domini tramite query WHOIS, si scopre che sono tutti registrati dallo stesso indirizzo email, “whois-protect[@]hotmail[.]com”, che apparentemente sembrerebbe offuscato tramite un servizio per la protezione della privacy. In realtà si tratta di un semplice account e-mail creato tramite Hotmail utilizzato dall’attaccante per registrare molti altri domini.
Questo indirizzo di posta in realtà era già noto, infatti viene citato il 18 gennaio 2018 sul blog di Talos Intelligence in un post relativo a Necurs, la botnet responsabile del 97% delle campagne di spam maligne in tutto il mondo e che causa la diffusione di malware, come TrickBot, Dridex, Loki, Emotet, Scarab, etc. Non è quindi da escludere che gli autori della campagna Ursnif possano aver iniziato una campagna per diffondere il trojan bancario sfruttando la botnet Necurs.
Una panoramica dei repository rinvenuti è visibile sulla piattaforma Infosec dove è inoltre disponibile uno dei sample al momento oggetto di analisi.
IOCs
DOMAINS
  • qwdqwdqwd19[.com
  • g94q1w8dqw[.com
  • vqubwduhbsd[.com
  • fq1qwd8qwd4[.com
  • wdq9d5q18wd[.com
  • qwd1q6w1dq6wd1[.com
  • qw8e78qw7e[.com
  • qwdohqwnduasndwjd212[.com
IP
  • 23.227.201[.166
  • 172.106.170[.85
  • 89.37.226[.117
  • 86.105.1[.131
  • 62.113.238[.147
  • 89.37.226[.156
  • 198.55.107[.164
EMAIL
  • whois-protect[@]hotmail[.com
  • zhejiangshangbang[@]qq[.com
HASH
  • C97E623145F7B44497B31EF31A39EFED
  • B48F658DBD0EF764778F953E788D38C9
  • 6F571B39FCDE69100EB7AEC3C0DB0A98
  • 29CA7312B356531F9A7A4C1C8D164BDD
  • 535A4EBB8AEF4C3F18D9B68331F4B964
  • 347CE248B44F2B26ADC600356B6E9034
  • 3C301FF033CB3F1AF0652579AD5BC859
  • 716D8D952102F313F65436DCB89E90AE
  • FD26B4B73E73153F934E3535A42B7A16
Taggato  italia malware ursnif