Malware Ursnif – Tema Agenzia delle Entrate

Pubblicato da frtg il

Nelle settimane dallโ€™8 al 21 Marzo 2021 รจ stata identificata una campagna di e-mail malevole che veicolano il malware Ursinf.

Il Malware Ursnif รจ di tipo “๐‘ฉ๐’‚๐’๐’Œ๐’Š๐’๐’ˆ ๐‘ป๐’“๐’๐’‹๐’‚๐’”, associato principalmente a compromissioni di dati dell’utente, spesso utilizzato come primo vettore per compromissioni piรน complesse delle infrastrutture aziendali e attacchi Ransomware.

Il tema delle e-mail utilizzato dai Cyber criminali ricalca quello dellโ€™Agenzia delle Entrate, alla e-mail viene allegato un file malevolo Excel “.xlsb”.

Figura 1 – Esempio di E-mail malevola

Il dropper

Durante l’apertura del documento ๐—˜๐˜…๐—ฐ๐—ฒ๐—น e la contestuale abilitazione delle Macro, vengono avviate una serie di azioni che prevedono il download e avvio della seconda porzione del malware (file “.dll”).

Figura 2 – Excel malevolo

Comportamento del Malware

Il dropper esegue il download del file dll al dominio satisonline[.]bar (62[.]173[.]147[.]107) , richiamando il file “signup.jpg”.  

Figura 3 – Estratto comunicazioni di rete

Tale ๐’‡๐’Š๐’๐’† viene salvato in una cartella ad un percorso randomico del tipo: โ€œC:\zVAJUlB\WPTqlPR\RjuoPEa.dllโ€ 

A questo punto la postazione risulta essere compromessa, vengono infatti avviate le prime connessioni ai server di “๐—–๐—ผ๐—บ๐—ฎ๐—ป๐—ฑ๐—ผ ๐—ฒ ๐—–๐—ผ๐—ป๐˜๐—ฟ๐—ผ๐—น๐—น๐—ผ” per l’accesso remoto al sistema.

I nostri servizi Difensivi

Come “Security Service Provider”, Fortgale supporta le Aziende nella prevenzione, gestione e intervento in casi di Cyber Attack, con una serie di servizi di monitoraggio, rilevamento e risposta e con l’integrazione di attivitร  specialistiche di Cyber Threat intelligence e Threat Hunting.

Per maggiori informazioni: contatti