Nelle settimane dall’8 al 21 Marzo 2021 è stata identificata una campagna di e-mail malevole che veicolano il malware Ursinf.
Il Malware Ursnif è di tipo “𝑩𝒂𝒏𝒌𝒊𝒏𝒈 𝑻𝒓𝒐𝒋𝒂𝒏”, associato principalmente a compromissioni di dati dell’utente, spesso utilizzato come primo vettore per compromissioni più complesse delle infrastrutture aziendali e attacchi Ransomware.
Il tema delle e-mail utilizzato dai Cyber criminali ricalca quello dell’Agenzia delle Entrate, alla e-mail viene allegato un file malevolo Excel “.xlsb”.
Il dropper
Durante l’apertura del documento 𝗘𝘅𝗰𝗲𝗹 e la contestuale abilitazione delle Macro, vengono avviate una serie di azioni che prevedono il download e avvio della seconda porzione del malware (file “.dll”).
Comportamento del Malware
Il dropper esegue il download del file dll al dominio satisonline[.]bar (62[.]173[.]147[.]107) , richiamando il file “signup.jpg”.
Tale 𝒇𝒊𝒍𝒆 viene salvato in una cartella ad un percorso randomico del tipo: “C:\zVAJUlB\WPTqlPR\RjuoPEa.dll”
A questo punto la postazione risulta essere compromessa, vengono infatti avviate le prime connessioni ai server di “𝗖𝗼𝗺𝗮𝗻𝗱𝗼 𝗲 𝗖𝗼𝗻𝘁𝗿𝗼𝗹𝗹𝗼” per l’accesso remoto al sistema.
I nostri servizi Difensivi
Come “Security Service Provider”, Fortgale supporta le Aziende nella prevenzione, gestione e intervento in casi di Cyber Attack, con una serie di servizi di monitoraggio, rilevamento e risposta e con l’integrazione di attività specialistiche di Cyber Threat intelligence e Threat Hunting.
Per maggiori informazioni: contatti
