Il cybercrime nasconde Ursnif/Gozi nelle mail in risposta a thread esistenti

Italia Yoroi Trendmicro Thread Phishing Botnet Certpa Sentenzelegali Trojanbancario Botnet Necurs Ursnif Malware Cybercrime Malspam Botnet Necurs Cybersecurity Cyberattacchi Sicurezzainformatica Microsoftword Phishing

Trend Micro: Il cybercrime ha lanciato una campagna phishing per diffondere il malware Urnisf/Gozi anche in Italia. L’esca è diventata la mail stessa. Gli allegato o i link malevoli sono infatti nascosti nel testo di risposte a thread esistenti

I criminali informatici si fanno più furbi per tentare di diffondere, anche in Italia, il malware Ursnif/Gozi Lo hanno scoperto i ricercatori di cyber security di Trend Micro, che hanno rilevato una sofisticata campagna di phishing volta a distribuire il Trojan bancario. Questa, però, a differenza delle precedenti, è più subdola. Usa, infatti, messaggi di posta elettronici dall’aspetto legittimo, al cui interno inserisce allegati o link malevoli incorporati nel testo. Cioè sfrutta mittenti familiari e conversazioni già avviate (thread, utilizzando gli account violati della botnet Dark Cloud) per cercare di ingannare le vittime e far sì che scarichino involontariamente il malware. A livello geografico i bersagli sono principalmente utenti in Nord America e in Europa, con punte minori in Asia e America Latina. In ambito settoriale, invece, il cybercrime punta all’istruzione, alla finanza, all’energia, alle industrie, ai beni immobili, ai trasporti, alla produzione e ai governi.

L’obiettivo dei criminali informatici è rubare informazioni. Il CERT-PA: la campagna di phishing ha impattato l’Italia nel periodo 9-10-11 ottobre 2018. Ulteriori analisi sono in corso

L’obiettivo principale dei criminali informatici è il furto di informazioni. Il malware Ursnif, infatti, è inviare ai server di comando e controllo (C2) Informazioni di sistema, l’elenco delle applicazioni installate, dei driver installati, dei processi in esecuzione e dei dispositivi di rete, nonché l’indirizzo IP esterno, le credenziali di posta elettronica (IMAP, POP3, SMTP), i cookies, i certificati, le catture di video schermo (.AVI) e le informazioni finanziarie tramite webinjects. Per farlo usano mail con allegati con il nome dell’organizzazione del mittente, anche se a volte sono generici. Inoltre, gli aggressori probabilmente hanno l’accesso autenticato all’account mittente. Tanto che vengono utilizzati messaggi in risposta a un thread di posta elettronica esistente. Per quanto riguarda l’Italia, il CERT della Pubblica Amministrazione (CERT-PA) ha rilevato che la campagna di phishing ha impattato il territorio nazionale nel periodo 9-10-11 ottobre 2018. Ulteriori analisi sono in corso e seguiranno aggiornamenti sulla sua diffusione.

Il post integrale di Trend Micro con gli indicatori di compromissione