Variante dropper Ursnif

09/07/2019

excel fattura macro malspam ursnif vba

Una variante del dropper di Ursnif, precedentemente analizzata nel bollettino CERT-PA-B004-190627 sta circolando tramite e-mail riguardanti finte fatture da pagare.

Le e-mail sono scritte in italiano ed in merito al mittente sono state utilizzate tecniche di spoofing.

L’e-mail riporta in allegato un documento malevolo denominato Allegato Documento 420 FATT. PAGANO.xls

Trattasi di un documento Excel che esorta ad abilitare le macro per avviare la catena di infezione che in fine porta all’esecuzione del malware Ursnif. Le modalità di infezione sono molto simili al bollettino indicato sopra, vi sono tuttavia alcune differenze:

  • La macro VBA infetta la macchina se il mese corrente contiene due L (come è nel caso del mese di luglio).
  • Il file scaricato viene decodifcato con un algoritmo più complesso (di seguito un dettaglio).

Algoritmo per la decodifca del file scaricato dal dropper

Il payload finale è sempre una DLL contenente Ursnif, come si evince da un’analisi automatica, e che viene eseguita con le stesse modalità della variante analizzata nel bollettino.

C&C Ursnif

Sembra che gli autori del malware abbiamo sempre più consapevolezza delle vulnerabilità associate al software usato nel C&C, il quale adesso accoglie l’analista con un esplicito messaggio sul form di basic authentication: “Fuck OFF“.

 

Indicatori di compromissione

  • IoC (.txt) – Hash dei file, URL e domini C&C e payload