{"id":1904,"date":"2021-03-30T11:26:35","date_gmt":"2021-03-30T09:26:35","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=1904"},"modified":"2023-05-10T10:52:44","modified_gmt":"2023-05-10T10:52:44","slug":"malware-ursnif-agenzia-delle-entrate","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/uncategorized-it\/malware-ursnif-agenzia-delle-entrate\/","title":{"rendered":"Malware Ursnif – Tema Agenzia delle Entrate"},"content":{"rendered":"\n

Nelle settimane dall\u20198 al 21 Marzo 2021<\/strong> \u00e8 stata identificata una campagna di e-mail malevole che veicolano il malware Ursinf<\/strong>.<\/p>\n\n\n\n

Il Malware Ursnif \u00e8 di tipo “\ud835\udc69\ud835\udc82\ud835\udc8f\ud835\udc8c\ud835\udc8a\ud835\udc8f\ud835\udc88 \ud835\udc7b\ud835\udc93\ud835\udc90\ud835\udc8b\ud835\udc82\ud835\udc8f”, associato principalmente a compromissioni di dati dell’utente, spesso utilizzato come primo vettore per compromissioni pi\u00f9 complesse delle infrastrutture aziendali e attacchi Ransomware<\/em><\/strong>.<\/p>\n\n\n\n

Il tema delle e-mail utilizzato dai Cyber criminali ricalca quello dell\u2019Agenzia delle Entrate<\/strong>, alla e-mail viene allegato un file malevolo Excel “.xlsb”.<\/p>\n\n\n\n

\"\"
Figura 1 – Esempio di E-mail malevola<\/figcaption><\/figure>\n\n\n\n

Il dropper<\/h2>\n\n\n\n

Durante l’apertura del documento \ud835\uddd8\ud835\ude05\ud835\uddf0\ud835\uddf2\ud835\uddf9 e la contestuale abilitazione delle Macro, vengono avviate una serie di azioni che prevedono il download e avvio della seconda porzione del malware (file <\/em>“.dll”).<\/p>\n\n\n\n

\"\"
Figura 2 – Excel malevolo<\/figcaption><\/figure>\n\n\n\n

Comportamento del Malware<\/h2>\n\n\n\n

Il dropper esegue il download del file <\/em>dll al dominio satisonline[.]bar (62[.]173[.]147[.]107)<\/em><\/strong> , richiamando il file “signup.jpg”.  <\/p>\n\n\n\n

\"\"
Figura 3 – Estratto comunicazioni di rete<\/figcaption><\/figure>\n\n\n\n

Tale \ud835\udc87\ud835\udc8a\ud835\udc8d\ud835\udc86 viene salvato in una cartella ad un percorso randomico del tipo: \u201cC:\\zVAJUlB\\WPTqlPR\\RjuoPEa.dll\u201d <\/p>\n\n\n\n

A questo punto la postazione risulta essere compromessa, vengono infatti avviate le prime connessioni ai server di “\ud835\uddd6\ud835\uddfc\ud835\uddfa\ud835\uddee\ud835\uddfb\ud835\uddf1\ud835\uddfc \ud835\uddf2 \ud835\uddd6\ud835\uddfc\ud835\uddfb\ud835\ude01\ud835\uddff\ud835\uddfc\ud835\uddf9\ud835\uddf9\ud835\uddfc” per l’accesso remoto al sistema.<\/p>\n\n\n\n

I nostri servizi Difensivi<\/strong><\/h3>\n\n\n\n

Come “Security Service Provider”, Fortgale <\/strong>supporta le Aziende nella prevenzione, gestione e intervento in casi di Cyber Attack<\/strong>, con una serie di servizi di monitoraggio<\/strong>, rilevamento <\/strong>e risposta <\/strong>e con l’integrazione di attivit\u00e0 specialistiche di Cyber Threat intelligence<\/strong> e Threat Hunting<\/strong>.<\/p>\n\n\n

Per maggiori informazioni: contatti<\/a><\/p>\n\n\n

<\/p>\n","protected":false},"excerpt":{"rendered":"

Il dropper Comportamento del Malware I nostri servizi Difensivi Per maggiori informazioni: contatti<\/p>\n","protected":false},"author":1,"featured_media":1907,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[954],"tags":[18,48,160,177,212,213,314,335,336,362,363,368],"class_list":["post-1904","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-uncategorized-it","tag-62-173-147-107","tag-banker","tag-gozi","tag-incident-response","tag-malware","tag-malware-analysis","tag-sfile3","tag-statillioni","tag-statisonline","tag-trojan","tag-trojan-banker","tag-ursnif"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1904","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=1904"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1904\/revisions"}],"predecessor-version":[{"id":5210,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/1904\/revisions\/5210"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=1904"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=1904"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=1904"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}