Ursnif, approfondimenti sulle campagne di diffusione del malware bancario

banking malware ursnif

Nelle scorse settimane il
CERT-PA ha pubblicato diverse notizie in relazione ad attacchi veicolati via posta elettronica finalizzati a diffondere allegati malevoli utilizzati come inizio della catena di infezione collegate alla famiglia del malware bancario Ursnif.

Nella maggior parte delle occasioni le campagne di attacco hanno visto utilizzare documenti Office dotati di macro malevole e tecniche, tra cui il social engineering, finalizzate a convincere l’utente destinatario che il messaggio ricevuto potesse, almeno in prima battuta, ritenersi attendibile e quindi invitarlo a validare il contenuto protetto dei documenti per la corretta visualizzazione.

Attraverso queste ondate di malspam si è notato in particolare l’uso di allegati MS Word dal nome “Richiesta.doc“ o del tipo “[Nome_Azienda]_Richiesta.doc”.

Si forniscono gli IoC delle campagne di malspam “Ursnif” individuate di recente con impatto nel contesto italiano.

Download IoC (.txt)

Evoluzione nella metodologia di conduzione delle campagna di malspam

Necurs è una delle principali botnet utilizzate per veicolare malspam ed in particolare quella di recente collegata proprio alla diffusione del malware bancario Ursnif. A partire dalla prima metà di giugno 2018, i ricercatori Trendmicro hanno osservato Necurs – di cui condividiamo gli IoC – diffondere un modulo di spam basato su ambiente di sviluppo .NET in grado di inviare e-mail e sottrarre credenziali da Internet Explorer, Chrome e Firefox. Alcune parti di questo modulo di spamming si sovrappongono a uno strumento di accesso remoto open-source. Il modulo di spam .NET quando approda su una macchina compromessa e quindi facente parte della botnet, fornisce gli argomenti per istruire i bot ad eseguire il binario. 

Il modulo di spamming .NET (SHA1: c25fcdf464202ef4226d085b8e495f4e5064125e) esegue diverse azioni in base agli argomenti forniti, di seguito quelli che accetta: 

  • “-sendcorp”: invia le email via Outlook delle vittime
  • “-sendprivate”: invia e-mail tramite Gmail e account Yahoo delle vittime
  • “-soggetto”: l’oggetto per l’e-mail
  • “-attach”: l’allegato per l’e-mail in formato base64
  • “-name”: l’indirizzo “FROM” per l’email
  • “-body”: il corpo per l’email in formato base64
  • “-demo”: invia una copia all’indirizzo e-mail indicato

Di seguito alcune delle funzioni degne di nota del modulo .NET:

  • può inviare spam utilizzando gli account e-mail registrati sul computer di una vittima
  • può accedere all’elenco dei contatti della vittima memorizzati nei client e-mail e agli indirizzi e-mail con cui una vittima ha precedentemente corrispondeva.

Le vittime non saranno in grado di notare lo spam inviato dai loro indirizzi e-mail in quanto il modulo .NET può eliminare l’ultima e-mail inviata dall’account e-mail della vittima e catturare tutti gli avvisi.

Mentre in passato Necurs inviava mail direttamente tramite i bot con conseguente facilità di bloccare gli indirizzi IP, la tendenza attuale vede le e-mail di spam inviate tramite client di posta legittimi con IP autorizzati. La soluzione di blocco IP quindi potrebbe non funzionare correttamente. Inoltre, quelle e-mail spam provengono da account e-mail che i ricevitori già riconoscono.

Evoluzione nella catena di infezione

L’utilizzo di allegati di posta elettronica malevoli, anche in relazione alle potenzialità delle botnet tra cui Necurs, rimane il metodo di infezione preferenziale. Anche in questo caso si nota la tendenza a
variare la tipologia di allegati. Uno degli ultimi casi, rilevato grazie alle attività di info-sharing con le altre strutture Nazionali, vede l’impiego di archivi zip contenenti uno i più file con estensioni sospette, non convenzionali in comunicazioni di questo tipo, capaci di scaricare ed eseguire codice remoto.

Una di queste campagne avente recente impatto su utenze italiane, vede la consegna di un file denominato “scansione documenti.zip” al cui interno sono inclusi altri file come rappresentato nell’immagine seguente:

Di seguito gli indicatori di compromissione della campagna sopra descritta:

Download IoC (.txt)

 

Generiche contromisure

Una soluzione sempre valida contro questa modalità di diffusione, che non è legata alle firme Antivirus, è quella di bloccare il traffico in uscita dai client per quei comandi come “cmd”, “cscript” o “powershell” che di solito sono attivati dalle macro per il download di codice malevolo da internet.

Ulteriori suggerimenti, da valutare lato end-point, richiamano all’attuazione di specifiche politiche di controllo e restrizioni sulle funzionalità di Windows tra cui:

Taggato  banking malware ursnif