skip to Main Content

Gli hacker che attaccano l’Italia con Ursnif passano alla steganografia

Gli Hacker Che Attaccano L’Italia Con Ursnif Passano Alla Steganografia

Gli hacker dietro alla campagna malspam in Italia si fanno più furbi. Diffondono il trojan bancario Ursnif usano la steganografia, con mail inviate da presunti uffici amministrativi di Srl

Gli hacker dietro alla campagna di malspam in Italia con il trojan bancario Ursnif si fanno più furbi. Lo ha rilevato il CERT-PA , che ha analizzato gli ultimi attacchi informatici via mail, indirizzati anche alla Pubblica Amministrazione. Le false comunicazioni sembrano arrivare da Uffici amministrativi di aziende (Srl) e utilizzano un ipotetico documento di fatturazione elettronica per invitare l’utente ad aprire l’allegato malevolo. A differenza di quanto avvenuto finora, però, il file contiene informazioni steganografate. In origine, la tecnica è nata per nascondere la comunicazione tra due interlocutor. In ambito di cyber security, invece, è applicata – tra le altre cose – per nascondere messaggi all’interno dei bit più bassi di immagini o audio e informazioni all’interno di dati crittografati o casuali. In questo caso dalla decodifica è stato possibile risalire al contenuto originale: ovvero a uno script powershell codificato nella prima riga dell’immagine.

Il CERT-PA: Non ci sono dubbi su chi sia il bersaglio dei cyber attacchi. Colpire con il malware solamente le utenze in Italia

Non ci sono dubbi su quale sia la finalità della campagna malspam: colpire con il malware solamente le utenze in Italia (terza riga di codice). A proposito, i criminali informatici stanno utilizzando il dominio “fatturapagamento[.]us”, preposto a ospitare le aggiuntive componenti malevole. Tanto che viene richiesto e successivamente eseguito un file denominato paint. Il nome del dominio, peraltro, è simile a quello utilizzato in un precedente cyber attacco verso utenze italiane, tramite il quale venne diffuso malware legato a varianti di Ursnif. Anche in questo caso il malware appartiene alla medesima famiglia e la query al server contattato utilizza gli stessi parametri della precedente offensiva informatica. Lo fa attraverso il documento malevolo allegato alla mail. Questo, tramite la macro, tenta di contattare una risorsa esterna per scaricare un file di tipo png, che contiene le informazioni steganografate.

Il post del CERT-PA con gli indicatori malware

Back To Top