Campagna di Attacco Ursnif in Corso

Proto: N050319.

Con la presente Yoroi desidera informarLa relativamente ad una emergente ondata di attacchi rivolta ai danni di organizzazioni ed utenze italiane. I messaggi di posta intercettati contengono documenti Excel malevoli in grado di evadere sistemi perimetrali ed analisi comportamentali, effettuano infatti controlli su configurazioni locali presenti sulla macchina bersaglio prima dell’avvio della catena di infezione.

Successivamente i documenti infetti caricano codice powershell malevolo tramite tecniche di steganografia, analogamente a quanto osservato in EW N070119, ed in seguito installano sul sistema vittima un impianto malware della famiglia Ursnif.

Di seguito si riportano gli indicatori di compromissione individuati a fronte delle analisi condotte:

• Malspam:
  • Domini mittente (potenziale spoof):
    • @legalmail.it  - @hotmail.it - @libero.it - @email.it  - @tim.it - @teletu.it - @istruzione.it - @virgilio.it
  • Allegati (possono variare):
    • documento group S.r.l. (07) [2019-03-18 n. 853].xls
    • 2019-03-18.n.190_documento.xls
  • Oggetti (possono variare):
    • DOCUMENTI
    • I: Scansione_eseguita
    • I: coordinate bancarie
    • Nr. 19/006502
    • Ricevuta bonifico
• Dropurl:
  • hxxps ://images2.imgbox[.com/13/b6/uda9Q0WR_o.png
• C2(ursnif):
  • hxxp:// 194.76.225[.64/images/
• Hash:
  • 90dfb791854d12664010766731f05a06b645eb9bc0054f9d66cf2417dc11f61d xls
  • ba0d5d5eda8b9a940785414689be0e71742feb00d61d50ad6925bdf60a17cb7c exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index