skip to Main Content

Cybercrime, doppio attacco con Ursnif in Italia

Cybercrime, Doppio Attacco Con Ursnif In Italia

JamesWT scopre un doppio attacco del cybercrime in Italia con Ursnif. Uno prende di mira i Comuni, usando mail  realmente inviate. L’altro è generico. Il malware si diffonde via file XML e vbs

Doppia campagna del cybercrime per diffondere Ursnif in Italia. Una prende di mira i Comuni, come denuncia il CERT-PA, mentre l’altra sembra generica. Le ha scoperte il ricercatore  indipendente di cyber security, JamesWT. Nel primo caso, l’utente si trova di fronte un file DOC contenente una macro malevola, artefice dell’infezione del malware. Nella fase di compromissione, questa provvede a scaricare un file di tipo XML, opportunamente rinominato in XLS. Nel secondo, invece usa un vbs. Inoltre, negli attacchi contro i Comuni, la potenziale vittime sono spinte ad aprire l’allegato, in quanto stanno rispondendo a una email effettivamente inviata. Ciò, grazie al fatto che i cyber criminali usano account compromessi in cui sono presenti messaggi inviati dal bersaglio. In quelli generici, invece, l’esca sono presunte pendenze legali del tribunale.

Gli esperti di cyber security del CERT-PA: in almeno uno dei due attacchi, il cybercrime ha inserito una funzione che individua la tipologia di macchina compromessa

Peraltro, nel caso degli attacchi Ursnif contro i Comuni, il cybercrime ha inserito un elemento specifico. Gli esperti di cyber security sottolineano che il malware contiene una funzione che si occupa di individuare la tipologia di macchina compromessa. Di fatto, cerca di rilevare se il computer Windows sia parte di una rete aziendale oppure no. A questo proposito, verifica che il nome macchina sia diverso dal nome dominio. Se la condizione è soddisfatta, procede al download di un file con estensione .cabz. Viceversa, scarica un file .cab. In entrambi i casi sono file di tipo Portable Executable (PE) leggermente differenti le cui analisi sono attualmente in corso da parte del CERT-PA.

Back To Top