Campagna di Attacco Ursnif “Re:”

Proto: N041118.

Con la presente Yoroi desidera informarLa relativamente ad una pericolosa campagna di attacco rivolta a numerose Organizzazioni italiane. Gli attacchi informatici si manifestano con invii di messaggi di posta fraudolenti contenenti allegati in grado di infettare le vittime con malware della famiglia Ursnif, capace di trafugare credenziali, intercettare dati e fornire accesso backdoor sulle macchine compromesse.

La campagna di attacco risulta di particolare rilievo in quanto gli attaccanti stanno inviando risposte fittizie a comunicazioni email realmente intercorse tra la vittima ed il mittente. Benché la tecnica di ingegneria sociale adottata sia già stata osservata in passato (rif. N040718, N040618, N060318), i tentativi di infezione rimangono di estrema pericolosità per via della possibilità che i messaggi fraudolenti appaiano attendibili agli occhi dei destinatari.

Figura 1. Esempio di email malevola intercettata

Di seguito si riporta la lista di indicatori di compromissione individuati durante le analisi:

• Malspam:
  • Sender:
    • <MITTENTI NOTI IN CONVERSAZIONI PRECEDENTI>
  • Subject:
    • Re: <OGGETTO PRECEDENTEMENTE UTILIZZATO>
  • Body:
    • Messaggi di posta legati a scambi email pregressi in calce
  • Attachment:
    • <SENDER_DOMAIN_OR_COMPANY_NAME>.doc
• Dropurl:
  • ninasukash[.com
  • hxxp://ninasukash[.com/YER/pelim.php
• C2 (ursnif):
  • cjwefomatt[.com
  • ticrerfgiff[.com
  • dubbergergbb[.com
  • hxxp://cjwefomatt[.com/images/
  • 46.17.46[.173
• Hash:
  • dffd5b4fa192eb1ee8b21e8fb586827329e702423024be9fa3b2dc571eca48de doc
  • ebef48eb0df99befd7040c466f7d9cb1a976e2c048eea280e99f49b296342301 exe

Yoroi consiglia infine di mantenere alto il livello di consapevolezza degli utenti, avvisandoli periodicamente delle minacce in corso e di utilizzare un team di esperti per salvaguardare la sicurezza del perimetro "cyber". Per avere un indice di minaccia in tempo reale si consiglia di visitare il seguente link: Yoroi Cyber Security Index