Negli ultimi gironi è stata rilevata una nuova campagna di Malspam contenente il malware Ursnif che ha colpito l’Italia.

Immagine
Da: JAMESWT su Twitter: “@jh__1995 @malwrhunterteam Mentioned

Il file Zip contiene un file JS che è il Dropper e si collega agli indirizzi:

  • https://docs.zohopublic[.]eu/downloaddocument.do?docId=674nid9fbf67b530c494389056fbaf4129f4b&docExtn=zip
  • http://josymixmyhome[.]com.br/site/direct.php
  •  https://docs.zohopublic[.]eu/downloaddocument.do?docId=674ni1c6312a91d7149af89b6475ece38b9b3&docExtn=png

Per scaricare un nuovo sample di Ursnif. Tale Sample viene poi estratto e salvato come direction.dll.

Comando per scaricare il sample di Ursnif

Dalle analisi effettuate, su direction.dll, risulta che il sample adotta un meccanismo di Defense Evasion. Infatti, effettua il controllo sul tipo di ambiente in cui viene eseguito, in modo tale da rilevare l’esecuzione all’interno di una Sandbox e modificare il suo comportamento, rendendo così l’analisi maggiormente complessa.
In oltre, è emerso che il malware accetta parametri di input, per cui il suo comportamento varia in base agli argomenti passati tramite il comando di esecuzione del sample.

ATT&CK TacticATT&CK Technique 
DEFENSE EVASIONVirtualization/Sandbox Evasion::System Checks T1497.001
EXECUTIONCommand and Scripting Interpreter:: T1059

Durante l’esecuzione il sample contatta i server di Comando e Controllo ai domini:

  • alliances[.]bar
  • allianceline[.]bar
  • alliancer[.]bar
Connessioni con i server C2 durante l’esecuzione

Analisi Statica

File JS

Tag

Dropper

Dettagli
md5A8E17B6252ED7E3C9BDA4F55B2E3CAC9
sha1E70B1DC096FDCE51C240D02BE32DEA3C6D3CE2E6
sha256C36C266157D4E7B7B2DBC36D96BDE0086E31647B541B14DB70D9FE1E36BAE779
file-size53939 (bytes)
entropy4.434
Virustotalscore:26/64

direction.dll

Tag

Ursnif

Dettagli
md5499200F6A8E223C057C6E16701740721
sha1EF46F9C62B94715B750173074C51100285FF6FE9
sha256D7E64F8E65CE586CE2F0A857810B2A23F85140BF5E52E5A824F09787FB2BF45E
file-size258504 (bytes)
entropy6.406
imphashD34313CE3555DEC95480BCAE2D5DEA6B
cpu32-bit
Virustotalscore:46/64

IOC

  • Dropper
    • MD5: A8E17B6252ED7E3C9BDA4F55B2E3CAC9
    • SHA1: E70B1DC096FDCE51C240D02BE32DEA3C6D3CE2E6
    • SHA256: C36C266157D4E7B7B2DBC36D96BDE0086E31647B541B14DB70D9FE1E36BAE779
  • Ursnif
    • MD5: 499200F6A8E223C057C6E16701740721
    • SHA1: EF46F9C62B94715B750173074C51100285FF6FE9
    • SHA256: D7E64F8E65CE586CE2F0A857810B2A23F85140BF5E52E5A824F09787FB2BF45E
  • Domini per download del sample di Ursnif:
    • https://docs.zohopublic[.]eu/downloaddocument.do?docId=674nid9fbf67b530c494389056fbaf4129f4b&docExtn=zip
    • http://josymixmyhome[.]com.br/site/direct.php
    •  https://docs.zohopublic[.]eu/downloaddocument.do?docId=674ni1c6312a91d7149af89b6475ece38b9b3&docExtn=png
  • Domini server C2:
    • alliances[.]bar
    • allianceline[.]bar
    • alliancer[.]bar