Una nuova campagna malspam sta diffondendo una falsa e-mail afferente al Ministero dello Sviluppo Economico (MISE), con riferimenti ad agevolazioni fiscali e aiuti alle imprese, che in realtà, se si da seguito, distribuisce il trojan noto come Ursnif/Gozi.
Il trojan bancario Ursnif
Il malware Ursnif, appartenente alla famiglia dei trojan bancari, purtroppo non è una novità.
Il suo codice sorgente, trapelato nel 2015 e reso disponibile pubblicamente su Github, ha consentito, negli anni, a vari gruppi criminali di aggiungere funzionalità e sviluppare varianti, diffondendole attraverso l’invio massivo di e-mail spam, spacciandole spesso come provenienti da sedicenti istituzioni pubbliche, sfruttando tematiche ispirate a situazioni e eventi contemporanei.
Finalizzato alla raccolta delle attività di rete delle vittime, alla registrazione delle sequenze di tasti e all’archiviazione e invio dei dati raccolti ai server di presidio C2, Ursnif/Gozi, continua periodicamente a ripresentarsi come una reale e puntuale minaccia. Non è un caso, infatti, che nel 2020 il Global Threat Index di Check Point Research lo abbia posizionato nella top 10 delle minacce rilevate a livello globale.
In particolare in Italia, nel mese di maggio, Ursnif ha fatto registrare un impatto sulle organizzazioni di oltre il 14%, attestandosi tra i primi strumenti malware impiegati dal cyber crime. L’ultima di una serie di campagne malspam, rilevate dal nostro CSIRT sin già da inizio anno 2021, ne dà purtroppo un’ulteriore evidenza.
La finta e-mail del MISE
La nuova variante Ursnif è stata osservata questa settimana dai ricercatori del CSIRT Italia all’interno di alcuni campioni e-mail riproducenti grafica e riferimenti al MISE.
Il testo del messaggio di posta elettronica così recita:
“Il Ministero dello Sviluppo Economico, dipartimento per lo sviluppo e la coesione economica, reparto per la promozione delle attività imprenditoriali, Dispone:
la presente circolare dispensa chiarimenti in merito alla tipologia, alle condizioni, ai termini, alla durata e alle modalità di fruizione delle agevolazioni fiscali e contributive per il pacchetto di aiuti alle imprese, al fine di portare a conoscenza di tutti i soggetti interessati, anteriormente in allegato il file recante i dettagli riguardanti le singole tipologie di attività e l’elenco delle varie modalità di fruizione…”
Come si può notare, il contenuto del finto messaggio del MISE potrebbe trarre in inganno perché, facendo riferimento ad una presunta circolare, indicata nell’oggetto come “Circolare 10-feb-2021 , informazioni aiuti per la società”, e sfruttando le difficoltà economiche affrontate da molte aziende in questo periodo di emergenza sanitaria, prospetta agevolazioni fiscali e aiuti alle imprese riferendosi anche ad un ipotetico pacchetto di misure presumibilmente messo in opera dallo stesso Dicastero, e induce ad aprire l’allegato Word“dett_7522403.doc” per ulteriori dettagli.
In realtà, avverte il CSIRT come di consueto oramai, il documento nasconde del codice macro che autorizzandone l’esecuzione avvia la catena d’infezione del malware: una DLL viene scaricata dal dominio “megawatt[.]casa”, copiata nella cartella locale “C:/Users/Public/” con il nome “lo.jpg” e, successivamente, eseguita per infettare il sistema.
Come proteggersi
Come dimostrano anche le precedenti campagne rilevate, gli attori della minaccia tramite abili tecniche d’ingegneria sociale e phishing diffondono Ursnif prevalentemente tramite messaggi di posta elettronica portatori di falsi allegati.
Allora, per attenuare il rischio di subire un’infezione, senza dubbio, oltre che dotarsi di strumenti antivirus/antispam (che comunque potrebbero produrre dei falsi negativi) e non prestare particolare attenzione nel dare il consenso all’esecuzione di macro, occorre la massima cautela e prudenza nel leggere i messaggi e-mail e scaricare file che si ricevono in allegato o tramite link, evitando di visitare siti web verosimili e sospetti.
Saper interpretare in modo corretto la nomenclatura di un file, di un indirizzo web o di posta elettronica, dovrebbe diventare prassi comune, acquisendo, inoltre, la piena consapevolezza che dietro ogni forma di posta elettronica, messaggistica istantanea o documentazione digitale potrebbe nascondersi un tranello informatico.
Di seguito si riportano gli indici di compromissione pubblicati dal CSIRT Italia e che identificano la nuova variante malware.
DROP URL
http://megawatt[.]casa/preview.jpg
File type: Win32 DLL
MD5: eef4e867d496e925d0164a91cfe0dc0a
SHA-1: cacfb64235eb1fd15fa9e1add52c478ed1856f54
SHA-256: b58421ea643bc7d9e6411257f690cc53f2561b01ade33f4d35cea6d5d60d27d8
Articolo di Salvatore Lombardo, ICT Expert & Information Security contributor