Gli hacker che attaccano l’Italia con Ursnif passano alla steganografia

Certpa JRAT Malspam Italia Cybercrime Java Steganografia Srl Ufficiamministrativi Ccampagnamalspam Trojanbancario Malware Dhl Trojanbancario Cybersecurity Sicurezzainformatica Cybercrime Malware Malspam Malware Spyware Datastealing Backdoor Italia Ursnif Hacker Cybercime Cyberattacco Usa Israele Iran Network Infrastrutturecritiche Germania Mitchell Donbas Crimea Cyberwarfare Sbu Russia Infrastrutturecritiche Cyber Cyberdefence Spionaggioinformatico Berlino Hacker IVBB Outlook Russia Cyber Cyberattacco Cyberspionaggio Italia Pd Matteorenzi Anonymous Hactivisti Collettivo Anonplus Anarchici Elezioni Voto 4marzo Partitodemocratico Leaked Ucraina Natale Reteelettrica Infrastrutturaenergetica Malware Russia Hacker Pornhub Cyber Cyberattacco Hacker KovCoreG Industroyer Centralinucleari Ucraina Iran Processiindustriali Cyberwar Cyberwarfare Fireball Navi Pakistan NewDelhi Islamabad Propaganda Spionaggio Sabotaggio Hacker Cyber Cyberwar Cyberwarfare IMO Linee Guida Cyber Attacchi Hacker SFF PLA Cyber Offensiva Aziende Italiane Malware False Flag Cyber Cyberwarfare WannaCry APT10 India Cyber Spionaggio Cina Fbi Cybercrime Malware Bancario Ransomworm Uk Israele Hamas Idf Trojan Cyberattack Virus Malware Ransomware Cyberwarfare Cybersecurity Cyberwar

Gli hacker dietro alla campagna malspam in Italia si fanno più furbi. Diffondono il trojan bancario Ursnif usano la steganografia, con mail inviate da presunti uffici amministrativi di Srl

Gli hacker dietro alla campagna di malspam in Italia con il trojan bancario Ursnif si fanno più furbi. Lo ha rilevato il CERT-PA , che ha analizzato gli ultimi attacchi informatici via mail, indirizzati anche alla Pubblica Amministrazione. Le false comunicazioni sembrano arrivare da Uffici amministrativi di aziende (Srl) e utilizzano un ipotetico documento di fatturazione elettronica per invitare l’utente ad aprire l’allegato malevolo. A differenza di quanto avvenuto finora, però, il file contiene informazioni steganografate. In origine, la tecnica è nata per nascondere la comunicazione tra due interlocutor. In ambito di cyber security, invece, è applicata – tra le altre cose – per nascondere messaggi all’interno dei bit più bassi di immagini o audio e informazioni all’interno di dati crittografati o casuali. In questo caso dalla decodifica è stato possibile risalire al contenuto originale: ovvero a uno script powershell codificato nella prima riga dell’immagine.

Il CERT-PA: Non ci sono dubbi su chi sia il bersaglio dei cyber attacchi. Colpire con il malware solamente le utenze in Italia

Non ci sono dubbi su quale sia la finalità della campagna malspam: colpire con il malware solamente le utenze in Italia (terza riga di codice). A proposito, i criminali informatici stanno utilizzando il dominio “fatturapagamento[.]us”, preposto a ospitare le aggiuntive componenti malevole. Tanto che viene richiesto e successivamente eseguito un file denominato paint. Il nome del dominio, peraltro, è simile a quello utilizzato in un precedente cyber attacco verso utenze italiane, tramite il quale venne diffuso malware legato a varianti di Ursnif. Anche in questo caso il malware appartiene alla medesima famiglia e la query al server contattato utilizza gli stessi parametri della precedente offensiva informatica. Lo fa attraverso il documento malevolo allegato alla mail. Questo, tramite la macro, tenta di contattare una risorsa esterna per scaricare un file di tipo png, che contiene le informazioni steganografate.

Il post del CERT-PA con gli indicatori malware