Il CERT-AgID: In Italia è in corso una maxi offensiva Ursnif a tema Agenzia delle Entrate e MISE/MEF, che ha già prodotto oltre 1.200 IoC

In Italia è in corso una maxi offensiva del cybercrime, volta a distribuire Ursnif. Lo denunciano gli esperti di cybersecurity di CERT-AgID, che hanno analizzato il fenomeno. Dall’inizio di marzo ad oggi sono state osservate almeno quattro campagne, che hanno avuto come temi Agenzia delle Entrate e MISE/MEF e che si sono distinte per il loro considerevole volume. Non a caso, infatti, finora sono stati già individuati più di 1.200 indicatori di compromissione. La tecnica più sfruttata consiste nell’uso di un link dinamico di Firebase presente all’interno dell’e-mail per indirizzare la vittima verso una pagina di smistamento, ospitata su un server compromesso, da cui si viene poi indirizzati verso un file di tipo ZIP, anch’esso ospitato su un server compromesso, contenente il payload (un collegamento ad un eseguibile su una share pubblica). Durante le azioni legate all’analisi e al contrasto del fenomeno è stato possibile recuperare alcune informazioni lasciate disponibili nelle pagine di smistamento. Queste sono localizzate su un unico server di back-end dal quale sono state ricavate abbastanza liberamente informazioni sulle sue attività.

Cosa si evince dai dati delle quattro campagne malware di marzo

Secondo gli esperti di cybersecurity, i dati ritrovati contengono informazioni come indirizzo IP, User-Agent, data, ora, geolocalizzazione e classificazione dei dispositivi che hanno visitato la pagina di smistamento. Queste visite non corrispondono esattamente al numero di infezioni di Ursnif, avvenute poiché un certo numero di vittime si ferma prima di aprire l’archivio ZIP e anche perché una percentuale di visite proviene dai motori di ricerca e da strumenti automatici. Tuttavia, si osserva come vi sia un’evidente correlazione tra i picchi di visite ed i giorni in cui sono avvenute le campagne. Al momento dell’analisi dei dati erano quasi 380.000 le visite alle pagine di smistamento. Il back-end usato per indirizzare le vittime al payload è in grado di rilevare se la visita proviene da uno strumento automatico, ad esempio un motore di ricerca, per cui delle 380.000 visite solo 40.000 sono state classificate come provenienti da strumenti automatici. Le campagne del malware sono principalmente concentrate tra il mercoledì e il giovedì, ma lunedì 6 marzo è stata lanciata un’ulteriore campagna che ha prodotto notevoli risultati in termini di visite.

Le visite alle pagine di smistamento confermano che l’offensiva è mirata all’Italia

Il CERT-AgID ha confermato che l’offensiva Ursnif è mirata all’Italia, ma solo poco più della metà delle visite è italiana. L’altra grande fetta è di lingua inglese. Probabilmente, generata da strumenti automatici (sandbox) dato che si tratta di visite localizzate in specifici punti geografici anziché essere distribuite più o meno uniformemente nei paesi anglofoni. Inoltre, Si nota che la maggior parte delle visite avviene da dispositivi Windows; l’altra grande fetta riguarda i dispositivi mobile (Android, iOS, circa il 30%) e solo in misura minore macOS e Linux (il meno usato di tutti). Questo, ancora una volta, spiega il perché dell’ampia diffusione di malware per sistemi Windows rispetto ad altri sistemi operativi. Infine, è interessante osservare come le visite provenienti dagli Stati Uniti siano localizzate in punti specifici mentre quelle in Italia siano diffuse su tutto il territorio. Questo a conferma del fatto che le campagne sono state mirate principalmente per il nostro paese.