Negli ultimi gironi è stata rilevata una nuova campagna di Malspam contenente il malware Ursnif che ha colpito l’Italia. Il file Zip contiene un file JS che è il Dropper e si collega agli indirizzi: https://docs.zohopublic[.]eu/downloaddocument.do?docId=674nid9fbf67b530c494389056fbaf4129f4b&docExtn=zip http://josymixmyhome[.]com.br/site/direct.php https://docs.zohopublic[.]eu/downloaddocument.do?docId=674ni1c6312a91d7149af89b6475ece38b9b3&docExtn=png Per scaricare un nuovo sample di Ursnif. Tale Sample viene poi estratto e salvato come direction.dll. Dalle […]
Nelle ultime settimane è stata rilevata una campagna malware Ursnif con l’obiettivo di colpire gli utenti italiani che utilizzano l’online banking. Una volta infettato il computer della vittima, Ursnif attende che l’utente si colleghi al proprio sito di online banking e attraverso una web injection avvisa gli utenti che non potranno più utilizzare il servizio […]
Il dropper Comportamento del Malware I nostri servizi Difensivi Per maggiori informazioni: contatti
Follow on: Linkedin & Twitter In questo articolo approfondiamo l’analisi del malware Ursnif (precedentemente introdotto: Ursnif, attacchi in Italia – LINK), identificando le sue caratteristiche di infezione e persistenza. Mitre ATT&CK applicata ad Ursnif La catena di infezione è simile a quella di altri malware: una email inviata con un allegato malevolo esecuzione di comandi powershell download […]
Ursnif è un malware di tipo Banking Trojan costruito con lo scopo di mantenere l’accesso al sistema e sottrarre le credenziali dell’utente tramite funzionalità di keylogging. Per far fronte a minacce di questo tipo, è possibile usufruire dei servizi di protezione dei sistemi e infrastrutture erogato da Fortgale. Un team di analisti si occupa dell’identificazione di attacchi […]
File xlsm Dettagli Macro Macro contenute nell’allegato della mail: DLL Exports Dall’analisi della dll è possibile identificare i domini utilizzati per il download del successivo stadio. IOC DLL Domini e IP Dll: Loader: C2:
In April 2021, an unidentified Gold Southfield operator carried out a Ransomware attack against a European company. The initial access is performed by Gold Cabin, an access broker, that deploys IceID (Bokbot), a Remote Access Tool (RAT) malware[link]. Once inside the company, the access broker passes privileges to the main operator who deploys the REvil ransomware. This threat actor […]
Il Team di Cisco Talos ha condiviso l’analisi della nuova ondata Malspam della Botnet Necurs (link). Quest’ultima è sicuramente fra le botnet più attive al mondo, in grado di generare enormi quantità di Spam. Le mail malevole inviate contengono Ransomware e Trojan Bancari (Ursnif, Panda Banker o Emotet). L’apertura del documento malevolo e la conseguente abilitazione […]
