Nelle settimane dallโ€™8 al 21 Marzo 2021 รจ stata identificata una campagna di e-mail malevole che veicolano il malware Ursinf.

Il Malware Ursnif รจ di tipo “๐‘ฉ๐’‚๐’๐’Œ๐’Š๐’๐’ˆ ๐‘ป๐’“๐’๐’‹๐’‚๐’”, associato principalmente a compromissioni di dati dell’utente, spesso utilizzato come primo vettore per compromissioni piรน complesse delle infrastrutture aziendali e attacchi Ransomware.

Il tema delle e-mail utilizzato dai Cyber criminali ricalca quello dellโ€™Agenzia delle Entrate, alla e-mail viene allegato un file malevolo Excel “.xlsb”.

Figura 1 – Esempio di E-mail malevola

Il dropper

Durante l’apertura del documento ๐—˜๐˜…๐—ฐ๐—ฒ๐—น e la contestuale abilitazione delle Macro, vengono avviate una serie di azioni che prevedono il download e avvio della seconda porzione del malware (file “.dll”).

Figura 2 – Excel malevolo

Comportamento del Malware

Il dropper esegue il download del file dll al dominio satisonline[.]bar (62[.]173[.]147[.]107) , richiamando il file “signup.jpg”.  

Figura 3 – Estratto comunicazioni di rete

Tale ๐’‡๐’Š๐’๐’† viene salvato in una cartella ad un percorso randomico del tipo: โ€œC:\zVAJUlB\WPTqlPR\RjuoPEa.dllโ€ 

A questo punto la postazione risulta essere compromessa, vengono infatti avviate le prime connessioni ai server di “๐—–๐—ผ๐—บ๐—ฎ๐—ป๐—ฑ๐—ผ ๐—ฒ ๐—–๐—ผ๐—ป๐˜๐—ฟ๐—ผ๐—น๐—น๐—ผ” per l’accesso remoto al sistema.

I nostri servizi Difensivi

Come “Security Service Provider”, Fortgale supporta le Aziende nella prevenzione, gestione e intervento in casi di Cyber Attack, con una serie di servizi di monitoraggio, rilevamento e risposta e con l’integrazione di attivitร  specialistiche di Cyber Threat intelligence e Threat Hunting.

Per maggiori informazioni: contatti

Take your cyber- defence to a new level!

Cybersecurity is of vital importance in today's digital landscape. Our innovative and tailored solutions provide impenetrable defense for businesses of all sizes.

More info here

Related articles

qr code phishing
In the ever-evolving landscape of cyber threats, threat actors are constantly seeking […]
Risks and Solutions How to protect and how to react The identification […]
fickerstealer
Over the last week (26th of July 2021), CERT-AGID observed a malspam […]