Estate rovente in Italia sui cyber attacchi: rilevata nuova campagna malware

Italia Certpa Trojanbancario Botnet Necurs Ursnif Malware Cybercrime Malspam Botnet Necurs Cybersecurity Cyberattacchi Sicurezzainformatica Microsoftword Phishing

Il CERT-PA rileva una nuova campagna di malspam volta a colpire utenze in Italia con il trojan bancario Ursnif

E’ un’estate rovente per le aziende e le utenze in Italia sul versante cyber attacchi. Il CERT-PA ha rilevato una nuova campagna di malspam volta a colpire utenze nel nostro paese. Le aggressioni informatiche, come le precedenti, sono finalizzate a diffondere il malware Ursnif, un trojan bancario, tramite documenti .xls armati di macro malevola. Anche in questo caso il messaggio sembra provenire da una casella del dominio “istruzione.it” ma, dal controllo delle intestazioni, si evince che i cyber criminali si stanno avvalendo di tecniche di “spoofing” per nascondere il reale mittente e utilizzare un dominio di posta più familiare. La catena di infezione si sviluppa tramite l’interazione dell’utente il quale è indotto a dare il consenso alla modifica del documento (modalità compatibilità). L’azione determina l’esecuzione di comandi Windows per prelevare malware da una risorsa internet appositamente creata per ospitare carichi malevoli (payload) e installarli sul sistema della vittima.

L’uso di questo malware contro bersagli in Italia era emerso recentemente in varie occasioni

L’uso del trojan bancario Ursnif contro aziende e utenze italiane era emerso recentemente a seguito della scoperta di campagne malspam da parte di Yoroi. I cyber attacchi hanno preso di mira diversi soggetti con l’obiettivo di sottrarre alle vittime credenziali di posta elettronica, di piattaforme di cloud storage e di siti di e-commerce. Il CERT-PA a proposito aveva spiegato che nella maggior parte delle occasioni, le campagne di attacco hanno visto utilizzare documenti Office dotati di macro malevole e tecniche, tra cui il social engineering. Queste sono finalizzate a convincere l’utente destinatario che il messaggio ricevuto potesse, almeno in prima battuta, ritenersi attendibile e quindi invitarlo a validare il contenuto protetto dei documenti per la corretta visualizzazione. Attraverso queste ondate di malspam si è notato in particolare l’uso di allegati MS Word dal nome ‘Richiesta.doc’ o del tipo ‘[Nome_Azienda]_Richiesta.doc’.

Una delle principali botnet per diffondere Ursnif in Italia è Necurs

Il CERT-PA ricorda anche che “Necurs è una delle principali botnet utilizzate per veicolare malspam, e in particolare quella di recente collegata proprio alla diffusione del malware bancario Ursnif” in Italia. “A partire dalla prima metà di giugno 2018, i ricercatori Trendmicro hanno osservato Necurs diffondere un modulo di spam basato su ambiente di sviluppo .NET in grado di inviare e-mail e sottrarre credenziali da Internet Explorer, Chrome e Firefox. Alcune parti di questo modulo di spamming – spiegano gli specialisti di sicurezza informatica – si sovrappongono a uno strumento di accesso remoto open-source. Il modulo di spam .NET quando approda su una macchina compromessa e quindi facente parte della botnet, fornisce gli argomenti per istruire i bot ad eseguire il binario”.

La campagna malspam appena scoperta non è detto che sia nuova. Potrebbe essere l’evoluzione dei cyber attacchi originali con nuove esche. Il malware, infatti, è sempre lo stesso

Infine, gli esperti di sicurezza informatica hanno avvisato che i cyber aggressori cambiano la tipologia di allegati per inoculare il malware e la vittima non è in grado di sapere se ha inviato spam dalla sua mail. “Le vittime non saranno in grado di notare lo spam inviato dai loro indirizzi e-mail”, avvisa il CERT-PA. “L’utilizzo di allegati malevoli, anche in relazione alle potenzialità delle botnet tra cui Necurs, rimane il metodo di infezione preferenziale. Anche in questo caso si nota la tendenza a variarne la tipologia”. Perciò, non è detto che la campagna appena denunciata in Italia potrebbe essere nuova. L’ipotesi degli specialisti di cyber security è che sia un’ulteriore evoluzione di quella originale, ancora in corso. In pratica, cambiano solo le esche. Invece, la sostanza – il malware – rimane invariato.

Il post del CERT-PA