Ursnif: nuova ondata di malspam colpisce utenze italiane e PP.AA

14/02/2019

malspam malware ursnif

In data odierna il CERT-PA ha rilevato nuovamente una campagna di malspam finalizzata a diffondere, nel panorama Italiano e a danno delle P.P.AA., il noto Trojan Bancario Ursnif.

La campagna, attualmente in atto, viene veicolata attraverso messaggi di posta elettronica con i seguenti oggetti:

  • “Avviso di Pagamento”
  • “Fattura Corretta”
  • “Scaduto 21782”
  • “I:_Obbligo_fatturazione_dal_1°_Febbraio_2019”
  • “fattura in scadenza”
  • “Avv. Scad.”
  • “Fatt. 1471 del 12-02-2019”

e con allegato un file “.xls”, armato con macro malevola e con nomi file variabili del tipo seguente:

  • “Ft._immediata_group_*.xls”
  • “Doc_GenFeb_2019_*.xls”
  • “2019_B_*_srl.xls”

Di seguito si riporta un esempio di e-mail malevola rilevata in data 12 febbraio 2019:


Catena D’infezione

L’analisi della macro contenuta all’interno del file “.xls”, evidenzia che la campagna di malspam ha come obiettivo l’italia. Tale elemento è confermato, oltre che dalla tipologia di messaggio, da specifici controlli nel codice del malware come riportato nella figura seguente:

L’esecuzione della macro avvia la catena d’infezione che si compone di una serie di script “PowerShell” con vari stadi di offuscazione tra cui l’utilizzo di immagini contenenti script steganografati.

Lo stadio finale effettua il download del payload dalla seguente URL:

  • hxxps://delegirato.pro///////////aria-debug-5672.log

Dalle evidenze raccolte dall’analisi di “reverse engineering” effettuate sul codice si evincono elementi caratteristici, come la struttura delle URL usate per comunicare con il C&C e la dashboard utilizzata, riconducibili a malware della famiglia Ursnif (stessa analisi è stata effettuata da TgSoft), un noto Trojan bancario che carpisce credenziali da siti di home-banking, client email, piattaforme social, siti web e FTP.


Report Analisi Malware

Di seguito i link alle analisi dei file malevoli, rinvenuti seguendo la catena di infezione, e consultabili come report sul sistema Infosec all’indirizzo web seguente:


Indicatori di compromissione

IoC (.txt) – File globale : Domini, hash files (SHA1, MD5 e SHA256), IPv4
IoC (HASHr.txt) – Lista dei soli hash file da utilizzare in combinazione con il tool HASHr