L’offensiva del cybercrime per distribuire Ursnif in Italia si evolve. L’esperto di cyber security JAMESWT scopre una nuova campagna, uguale alle ultime sul lato tecnico, ma con una email esca diversa

L’offensiva del cybercrime per distribuire Ursnif in Italia si evolve. Il ricercatore di cyber security JAMESWT ha scoperto una nuova campagna malspam legata al malware, che presenta però una caratteristica nuova rispetto alle precedenti. E’ cambiato il testo della mail, il quale non fa più riferimento all’Agenzia delle Entrate, ma alla conferma di un ordine online pagato tramite carta di credito. Inoltre, il testo presenta diversi macro errori di sintassi a differenza del passato. A livello tecnico, invece, è identica all’ultima. Gli allegati (file excel) e i link da cui viene scaricato il codice malevolo puntano a due URL diversi (in passato a un unico); inoltre, ogni due o tre ore si rinnova l’eseguibile per non essere rilevato dagli antivirus. Il sempre più breve intervallo tra le campagne conferma che queste proseguiranno, variando solo leggermente come si è visto con l’ultima. Questa, peraltro, mantiene il controllo dell’IP che stabilisce se la macchina si trovi in Italia o meno e “decide”, di conseguenza, se attivare o no la catena d’infezione.