Prosegue senza sosta in Italia la campagna del cyber crime con il trojan bancario Ursnif, un malware considerato altamente pericoloso
Prosegue senza sosta in Italia la campagna del cyber crime con il trojan bancario Ursnif. Il malware è considerato altamente pericoloso, in quanto è in grado di sottrarre le credenziali di posta elettronica, di piattaforme di cloud storage e siti di e-commerce. Il CERT-PA rende noto che è attivo almeno dal 2009, come ha riportato Microsoft, ma nel corso del tempo si è evoluto e ha migliorato le tecniche di attacco. Recenti studi condotti da CSE Cybsec ZLab, hanno evidenziato la presenza in rete di altri documenti malevoli che utilizzano lo stesso filename pattern (“[NOME_COMPAGNIA_VITTIMA]_Richiesta.doc”). Inoltre, mostrano il messaggio “Questo file è stato creato con una versione precedente di Microsoft Office Word”. Per visualizzare il contenuto è necessario fare clic sul pulsante ‘Abilita modifiche’, situato sulla barra gialla in alto e poi cliccare su ‘Abilita contenuto’”. In questo modo si bypassa la cyber security della macchina della vittima.
CSE Cybsec: i domini malevoli che vengono contattati dai file infetti sono tutti registrati dallo stesso indirizzo email
Dall’analisi dinamica eseguita da CSE Cybsec sul malware, come riporta il CERT-PA italiano, risulta che i files infetti contattavano domini diversi; ogni documento office conteneva macro diverse, scritte con almeno tre stili di codifica; con il passare dei giorni, i domini non risultavano più raggiungibili. A seguito di ciò, gli esperti di sicurezza informatica ipotizzano che gli autori dei cyber attacchi abbiano deciso spontaneamente di disattivare o spostare i domini dopo essersi accorti di essere stati scoperti. Peraltro, analizzando i domini tramite query WHOIS, i ricercatori della cyber security hanno rilevato che questi sono tutti registrati dallo stesso indirizzo email, “whois-protect[@]hotmail[.]com”, che apparentemente sembrerebbe offuscato tramite un servizio per la protezione della privacy. In realtà si tratta di un semplice account e-mail creato tramite Hotmail utilizzato dall’attaccante per registrare molti altri domini.
Nella campagna di malspam in Italia, il cyber crime potrebbe usare la botnet Necurs per diffondere il trojan bancario
L’indirizzo di posta tramite cui i cyber criminali hanno registrato i domini era già noto. Infatti viene citato il 18 gennaio 2018 dai ricercatori di sicurezza informatica di Talos Intelligence sul blog della compagnia. In particolare in un post relativo a Necurs, la botnet responsabile del 97% delle campagne di malspam in tutto il mondo e che causa la diffusione di malware, come TrickBot, Dridex, Loki, Emotet, Scarab, etc. Non è quindi da escludere che gli autori della campagna Ursnif in Italia possano aver stabilito di diffondere il trojan bancario sfruttando la botnet Necurs.