Gozi\Ursnif: nuova ondata di malspam rivolta ad utenze italiane

11/12/2018

malware ursnif

In data odierna il CERT-PA ha rilevato una campagna di malspam finalizzata a diffondere, nel panorama Italiano oltre che a danno delle P.P.AA., una nuova variante del malware Gozi\Ursnif. Le peculiarità del caso osservato sono:

  • l’utilizzo di termini in lingua italiana
  • un testo ben strutturato anche se presenti alcuni errori ortografici
  • inclusione di una serie di elementi tra cui i dati del pagamento e i codici dell’esercente
  • assenza di file allegati

Di seguito un estratto del messaggio rilevato:

Catena di infezione

La catena di infezione può essere avviata solo tramite l’interazione dell’utente, nello specifico con il download del presunto documento, quindi dando seguito all’apertura del file. Un utente disattento o impreparato potrebbe scaricare ed eseguire del file malevolo nonostante il nome dell’estensione (.js), chiaramente visibile nel riepilogo del download, riconduca ad una tipologia di file sicuramente da evitare in quanto, trattandosi di un linguaggio di scripting, molto difficilmente viene utilizzato in comunicazioni lecite.

Il file “scontrino_193.js” può essere scaricato dal dominio (fatt[.]rfmyskin[.]com) solo tramite specifici user agent e browser, tra cui IE 9. Tale file adotta un buon grado di offuscamento del codice e rilascia un file eseguibile denominato “a.exe” che detiene incluso all’interno del codice JS. Quindi, a differenza delle precedenti varianti, il dropper non contatta alcun server per scaricare il malware di tipo PE.

L’eventuale lancio del JS su un sistema Windows determina l’esecuzione del file rilasciato “a.exe” (immagine successiva) che in prima battuta acquisisce una serie di informazioni come il nome dell’host “GetComputerNameW“, lo stato complessivo di utilizzo della memoria “GlobalMemoryStatusEx“, informazioni sulla lingua e tramite “IsDebuggerPresent” verifica se è stato eseguito dietro qualche strumento debug.

L’infezione consta di tre fasi:

Nella prima fase, il sample si autorimuove e si esegue in un nuovo processo, successivamente contatta un server remoto dal quale scarica due file .AVI che in realtà trattasi di file binari codificati, infine va a scrivere una serie di istruzioni nel registro di sistema che hanno il compito di invocare i file decodificati tramite script powershell tramite WMI command line.

Similitudini nel richiamare un file mascherato da video (.avi) sono già state osservate ad esempio nel bollettino CERT-PA-B005-180727 e CERT-PA-B006-180808 che si riferiscono ad altre campagne volte a diffondere Ursnif sul territorio Italiano.


Report analisi malware

Di seguito i link alle analisi dei file malevoli che sono consultabili sul sistema Infosec:

L’attuale fattore di riconoscimento da parte degli anti virus è esiguo e si attesta rispettivamente su 2/56 (.js) e 14/69 (.exe)


Indicatori di compromissione

  • IoC (.txt) – File globale :   Domini, hash files (SHA1, MD5 e SHA256), IPv4
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Oltre agli indicatori sopra riportati, tramite evidenze OSINT, emerge un ulteriore file (.js) malevolo che oltre ad utilizzare la stessa infrastruttura di rete potrebbe essere stato diffuso tramite la campagna:

  • Nome file: “scontrino_281.js
  • SHA256: 5E6532F4DF2F56192C6A21C6DA359A2EFCFB2E0CBD2C021FD02D9B623DFAC1BD
  • MD5: 3690F60F06A639B4D40CEA1B8DF8D3E8