skip to Main Content

Cybercrime: triplo attacco all’Italia con Emotet, Ursnif e FTCODE

Cybercrime: Triplo Attacco All’Italia Con Emotet, Ursnif E FTCODE

Il CERT-PA: L’Italia è sotto attacco da campagne del cybercrime per diffondere i malware Emotet, Ursnif e FTCODE

Triplo attacco del cybercrime a utente in Italia per distribuire altrettanti malware: Emotet, Ursnif e FTCODE. Lo denunciano gli esperti di cyber security del CERT-PA, che stanno monitorando le campagne malspam in corso. Nella prima, l’email contiene un testo con carattere di urgenza e un link a un file Word contenente una macro. Questa, se abilitata, scarica ed esegue il trojan bancario. Nella seconda l’esca è una falsa fattura DHL con un allegato malevolo (un file XLS). L’ultima, infine, è tesa a diffondere il ransomware attraverso un messaggio di Posta Elettronica Certificata (PEC), contenente un unico link (il cui testo è ripreso dall’oggetto di una e-mail precedente).cGli utenti Windows che visitano lo aprono sono indotti a scaricare un file ZIP contenente un dropper peril codice malevolo. Quelli Android, invece, a installare un’applicazione malevola (derivata da Anubis) in grado di rubare le informazioni personali delle vittime.

Gli esperti di cyber security: Le campagne malspam sono la ripetizione di azioni tese a colpire espressamente il nostro paese con i trojan bancari e il ransomware

Gli esperti di cyber security ricordano che le tre campagne del cybercrime sono mirate espressamente contro l’Italia. La conferma viene innanzitutto dalla qualità dei messaggi. Non ci sono errori grammaticali, tipici di chi traduce testi da lingue diversi con sistemi automatici. Inoltre, lo script malevolo contenuto nelle mail delle false fatture DHL, prima di procedere con la compromissione della macchina della vittima, esegue alcune verifiche per accertarsi che il target sia italiano. In caso di conferma, esegue uno script powershell assemblato dai vari pezzi disposti su specifiche celle del foglio di calcolo. Infine, rilascia un file PE che contatta un server C&C già utilizzato dal Nanocore Rat in campagne precedenti. Peraltro, gli attacchi per diffondere Emotet, Ursnif e FTCODE non sono nuove. Ma, come ricorda il CERT-PA, sono la ripetizione di campagne precedenti.

Back To Top