Ondata di malspam con finte Sentenze Legali

21/08/2019

malspam ursnif vbs

Il CERT-PA ha avuto evidenza della diffusione di e-mail di malspam volte alla diffusione del malware Ursnif.

Le mail si presentano in italiano con evidenti errori ortografici e grammaticali. Di seguito uno screenshot.

E-mail di malspam con finti riferimenti legali

L’oggetto dell’e-mail è Relazione di notifica atto N. X del D, dove X e D sono rispettivamente un numero ed una data. Nel corpo dell’e-mail è presente un link ad un documento ZIP (scaricabile solo con un UA indicante il sistema operativo Windows) il quale contiene un’immagine ed un file VBS.

L’immagine ha lo scopo di confondere l’utente per aumentare le probabilità che esegua lo script VBS.

Immagine nello ZIP

Lo script VBS, lievemente offuscato e di dimensioni di circa 1,8 MB, ha il compito di scaricare il payload finale (utilizzando un User Agent arbitrario) e di eseguirlo.

Il payload è un eseguibile non ancora analizzato, il C&C utilizzato dal malware sembra noto per aver veicolato Ursnif, tuttavia non si hanno al momento evidenze che si tratti effettivamente del medesimo malware. Analisi successive hanno confermato che trattasi di Ursnif.

Indicatori di compromissione

  • IoC (.txt) – Domini, URL, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr

Aggiornamento del 23/08/2019 

A seguito di attività di infosharing, il CERT-PA ha provveduto ad aggiornamento degli indicatori di compromissione. In alcuni casi l’oggetto della mail può variare leggermente, ad esempio viene usato Relata al posto di Relazione e Decreto o Sentenza a posto di Atto.

  • IoC (.txt) – Domini, URL, Hash
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr