L’Italia è sotto attacco: è boom di infezioni dei PC Windows italiani da parte di Ursnif, un pericoloso trojan bancario che ruba le credenziali d’accesso ai conti correnti online. Secondo Check Point Research questo malware è la minaccia più rilevata a maggio: ha tentato di infiltrarsi nei computer del 14% delle aziende, contro una media del 2% a livello globale.
Con questa nuova ondata di attacchi, Ursnif è entrato per la prima volta nella top 10 delle minacce rilevate da Check Point Research, dalla quale è invece sparito un altro trojan: Dreambot. Dreambot è a sua volta una delle varianti di Ursnif, una delle più vecchie visto che risale al 2014. Già da marzo 2020, però, il server backend di Dreambot ha smesso di funzionare e ora è chiaro perché: gli hacker stanno puntando di più su Ursnif e altri trojan. Come Dridex, entrato per la prima volta in top 10 proprio marzo. “Con Dridex, Agent Tesla e Ursnif, tutti nella top 5 di maggio, è chiaro che i cyber criminali si stanno concentrando sull’uso di malware che permettono loro di monetizzare i dati e le credenziali delle vittime“, spiega Maya Horowitz di Check Point.
Come funziona Ursnif
Ursnif è un trojan bancario, il che vuol dire che si infiltra nei computer (solo quelli con sistema operativo Windows, al momento) per cercare e rubare i dati del conto corrente al fine, ovviamente, di svuotarlo. Questo malware viene diffuso attraverso campagne e-mail spam, con allegati Word o Excel. Se l’utente apre l’allegato l’infezione ha inizio. Ursif ha la capacità di annidarsi e nascondersi nel computer e di avviarsi insieme al sistema operativo. Quando è in azione Ursnif registra le nostre attività per carpire non solo i dati bancari, ma anche altri dati personali come quelli per l’accesso alla posta elettronica. Una volta raccolti i dati, Ursnif si connette al suo server di controllo per trasmetterglieli.
Come difendersi da Ursnif
Per non rischiare di farsi infettare da Ursnif è necessario fare molta attenzione ai messaggi e-mail ricevuti, perché questo trojan si diffonde prevalentemente tramite gli allegati. Tipicamente questi messaggi e-mail sono scritti in un italiano scorretto, con diversi errori, e il file allegato ha un nome come “[NOME-AZIENDA-VITTIMA]_Richiesta.doc” o simili. Questi messaggi devono essere considerati pericolosi e, se per sbaglio abbiamo aperto uno di questi allegati, allora è bene fare in fretta una scansione antivirus completa di tutti i dati presenti sul computer.